APT15 Cyber-Spionage: Analyse der Kampagnen und TTPs
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
APT15 ist eine chinesische, staatlich geförderte Cyber-Spionagegruppe, die seit 2010 aktiv ist und in erster Linie auf Regierungsbehörden, diplomatische Vertretungen und militärische Organisationen abzielt. Die Akteure verlassen sich auf Spear-Phishing, die Ausnutzung öffentlich zugänglicher Anwendungen und maßgeschneiderte Backdoors, um sich anfänglich Zugang zu verschaffen und langfristige Zugänge aufrechtzuerhalten. Ihr Werkzeugkasten umfasst Steganographie, Verschleierung, Registry-Manipulation und verschlüsselte C2-Kanäle, die in HTTP-Header oder DNS-Verkehr eingebettet sind. Die Kampagne entwickelt sich weiter mit neuen Werkzeugen wie Graphican und dem ORB3-Relay-Netzwerk.
Untersuchung
Die Untersuchung hat mehrere Malware-Familien (BS2005, TidePool, MirageFox, Graphican, etc.) zugeordnet und einen umfassenden Satz von ATT&CK-Techniken, die von anfänglichem Zugang über Ausführung, Persistenz, Privilegieneskalation, Verteidigungsumgehung, Anmeldeinformationenzugriff, Entdeckung, Sammlung, Exfiltration bis hin zu Befehls- und Kontrollfunktionalitäten reichen. Analysten extrahierten konkrete Indikatoren wie Domänen, Dateipfade, Registrierungsschlüssel und Befehlszeilen aus den Falldaten. Die Infrastruktur der Gruppe nutzt Domänen wie goback.stranged.net and finance.globaleducat.com für C2-Operationen.
Minderung
Empfohlene Abwehrmaßnahmen umfassen ein rigoroses Scannen von E-Mail-Anhängen, das zeitnahe Patchen von Microsoft Exchange, SharePoint und VPN-Geräten sowie das Überwachen verdächtiger Registry-Änderungen, abnormaler geplanter Aufgaben und Rundll32- oder COM-basierter Payload-Ausführung. Die Netzwerküberwachung sollte sich auf untypische HTTP-Cookie-Aktivitäten und DNS-TXT-Abfragen in Übereinstimmung mit bekannten C2-Mustern konzentrieren. Anwendungs-Whitelisting und Verhaltensanalysen können helfen, den Einsatz umbenannter Archivprogramme und Steganographie-basierter PNG-Payloads zu blockieren.
Reaktion
Wenn APT15-Aktivität festgestellt wird, isolieren Sie den betroffenen Host, erfassen Sie flüchtige Daten und alle zugehörigen IOC-Artefakte und blockieren Sie die identifizierten C2-Domänen und IP-Adressen. Führen Sie vollständige forensische Analysen durch, um persistente Verknüpfungen, geplante Aufgaben und Registry-Änderungen zu lokalisieren, dann beseitigen Sie bösartige Komponenten und setzen alle kompromittierten Anmeldedaten zurück. Informieren Sie die betroffenen Benutzer und aktualisieren Sie die Erkennungsregeln, um die beobachteten Befehlszeilen, Dateipfade und Infrastrukturindikatoren abzudecken.
Angriffsfluss
Erkennungen
Ausführen von Archivierungssoftware über Befehl und Skript-Interpreter (via process_creation)
Anzeigen
Verdächtige PowerShell-Strings (via PowerShell)
Anzeigen
Verdächtige PowerShell-Strings (via cmdline)
Anzeigen
Verdächtige Binärdateien / Skripte im Autostart-Ort (via file_event)
Anzeigen
Mögliche XCOPY-Ausführung zur Dokumentensammlung (via cmdline)
Anzeigen
Verdächtige Dateierweiterung zu Run-Keys hinzugefügt [ASEPs] (via registry_event)
Anzeigen
IOCs (E-Mails) zur Erkennung: Analyse von APT15-Cyber-Spionage: Kampagnen und TTPs
Anzeigen
Erkennung von APT15-Befehlsausführungs- und Persistenztechniken [Windows-Prozess-Erstellung]
Anzeigen
Erkennung der APT15-C2-Kommunikation über bestimmte HTTP-Header [Windows-Netzwerkverbindung]
Anzeigen
Simulationsausführung
Voraussetzung: Die Telemetrie- und Baseline-Pre-Flight-Check müssen bestanden sein.
Angriffserzählung & Befehle:
- Vorbereitung: Der Gegner hat bereits ein Benutzerkonto kompromittiert und ist auf dem Endpunkt gelandet.
- Datenstaging (T1059.003): Mit dem exakten
xcopySyntax, wie bei historischen APT15-Aktivitäten beobachtet, kopiert der Angreifer die Desktop-Dateien des Opfers in einen verborgenen WMI-Temporärordner und bewahrt die Zeitstempel (/D:09-29-2021) auf, um sich mit legitimen Systemaktivitäten zu vermischen. - Payload-Ausführung (T1218.002): Der Angreifer ruft dann
rundll32.exemit einem kurzen Pfadnamen (C:DOCUME~1ALLUSE~1IEHelpermshtml.dll) auf, um schädliches JavaScript auszuführen, das Persistenz herstellt. - Ergebnis: Beide Befehle erzeugen eindeutige Prozess-Erstellungsereignisse, die der Sigma-Regel
auswahl1andauswahl2entsprechen und einen Alarm auslösen.
Regressionstest-Skript:
# -------------------------------------------------
# APT15-Simulationsskript – löst Sigma-Regel aus
# -------------------------------------------------
# 1. Erstellen Sie Staging-Verzeichnisse und Dummy-Dateien
$src = "C:usersREDACTEDDesktop"
$dst = "C:windowstempwmi"
New-Item -Path $src -ItemType Directory -Force | Out-Null
New-Item -Path $dst -ItemType Directory -Force | Out-Null
Set-Content -Path "$srcsecret.txt" -Value "sensitive data" -Encoding UTF8
# 2. Führen Sie den exakten xcopy-Befehl aus, der von APT15 verwendet wird
$xcopyCmd = "xcopy /D:09-29-2021 /S/Y/C c:usersREDACTEDDesktop c:windowstempwmi"
Invoke-Expression $xcopyCmd
# 3. Bereitstellen der bösartigen DLL (simuliert durch Kopieren einer legitimen DLL)
$malDllSrc = "$env:SystemRootSystem32mshtml.dll"
$malDllDst = "C:DOCUME~1ALLUSE~1IEHelpermshtml.dll"
New-Item -Path (Split-Path $malDllDst) -ItemType Directory -Force | Out-Null
Copy-Item -Path $malDllSrc -Destination $malDllDst -Force
# 4. Führen Sie rundll32 mit dem genauen APT15-Argumentmuster aus
$rundllCmd = "rundll32.exe C:DOCUME~1ALLUSE~1IEHelpermshtml.dll, IEHelper"
Invoke-Expression $rundllCmd
# -------------------------------------------------
# Ende der Simulation
# -------------------------------------------------
Bereinigungskommandos:
# Entfernen Sie Staging-Dateien und -Verzeichnisse
Remove-Item -Path "C:usersREDACTEDDesktopsecret.txt" -Force -ErrorAction SilentlyContinue
Remove-Item -Path "C:windowstempwmi" -Recurse -Force -ErrorAction SilentlyContinue
# Entfernen Sie den gefälschten IEHelper-Ordner und die DLL
Remove-Item -Path "C:DOCUME~1ALLUSE~1IEHelper" -Recurse -Force -ErrorAction SilentlyContinue
# Optional: Stoppen Sie Sysmon (wenn nur für den Test benötigt)
# & "$env:ProgramFilesSysinternalsSysmon.exe" -u