SOC Prime Bias: Kritisch

16 Dec 2025 16:22 UTC

APT15 Cyber-Spionage: Analyse der Kampagnen und TTPs

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
APT15 Cyber-Spionage: Analyse der Kampagnen und TTPs
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

APT15 ist eine chinesische, staatlich geförderte Cyber-Spionagegruppe, die seit 2010 aktiv ist und in erster Linie auf Regierungsbehörden, diplomatische Vertretungen und militärische Organisationen abzielt. Die Akteure verlassen sich auf Spear-Phishing, die Ausnutzung öffentlich zugänglicher Anwendungen und maßgeschneiderte Backdoors, um sich anfänglich Zugang zu verschaffen und langfristige Zugänge aufrechtzuerhalten. Ihr Werkzeugkasten umfasst Steganographie, Verschleierung, Registry-Manipulation und verschlüsselte C2-Kanäle, die in HTTP-Header oder DNS-Verkehr eingebettet sind. Die Kampagne entwickelt sich weiter mit neuen Werkzeugen wie Graphican und dem ORB3-Relay-Netzwerk.

Untersuchung

Die Untersuchung hat mehrere Malware-Familien (BS2005, TidePool, MirageFox, Graphican, etc.) zugeordnet und einen umfassenden Satz von ATT&CK-Techniken, die von anfänglichem Zugang über Ausführung, Persistenz, Privilegieneskalation, Verteidigungsumgehung, Anmeldeinformationenzugriff, Entdeckung, Sammlung, Exfiltration bis hin zu Befehls- und Kontrollfunktionalitäten reichen. Analysten extrahierten konkrete Indikatoren wie Domänen, Dateipfade, Registrierungsschlüssel und Befehlszeilen aus den Falldaten. Die Infrastruktur der Gruppe nutzt Domänen wie goback.stranged.net and finance.globaleducat.com für C2-Operationen.

Minderung

Empfohlene Abwehrmaßnahmen umfassen ein rigoroses Scannen von E-Mail-Anhängen, das zeitnahe Patchen von Microsoft Exchange, SharePoint und VPN-Geräten sowie das Überwachen verdächtiger Registry-Änderungen, abnormaler geplanter Aufgaben und Rundll32- oder COM-basierter Payload-Ausführung. Die Netzwerküberwachung sollte sich auf untypische HTTP-Cookie-Aktivitäten und DNS-TXT-Abfragen in Übereinstimmung mit bekannten C2-Mustern konzentrieren. Anwendungs-Whitelisting und Verhaltensanalysen können helfen, den Einsatz umbenannter Archivprogramme und Steganographie-basierter PNG-Payloads zu blockieren.

Reaktion

Wenn APT15-Aktivität festgestellt wird, isolieren Sie den betroffenen Host, erfassen Sie flüchtige Daten und alle zugehörigen IOC-Artefakte und blockieren Sie die identifizierten C2-Domänen und IP-Adressen. Führen Sie vollständige forensische Analysen durch, um persistente Verknüpfungen, geplante Aufgaben und Registry-Änderungen zu lokalisieren, dann beseitigen Sie bösartige Komponenten und setzen alle kompromittierten Anmeldedaten zurück. Informieren Sie die betroffenen Benutzer und aktualisieren Sie die Erkennungsregeln, um die beobachteten Befehlszeilen, Dateipfade und Infrastrukturindikatoren abzudecken.

Angriffsfluss

Simulationsausführung

Voraussetzung: Die Telemetrie- und Baseline-Pre-Flight-Check müssen bestanden sein.

Angriffserzählung & Befehle:

  1. Vorbereitung: Der Gegner hat bereits ein Benutzerkonto kompromittiert und ist auf dem Endpunkt gelandet.
  2. Datenstaging (T1059.003): Mit dem exakten xcopy Syntax, wie bei historischen APT15-Aktivitäten beobachtet, kopiert der Angreifer die Desktop-Dateien des Opfers in einen verborgenen WMI-Temporärordner und bewahrt die Zeitstempel (/D:09-29-2021) auf, um sich mit legitimen Systemaktivitäten zu vermischen.
  3. Payload-Ausführung (T1218.002): Der Angreifer ruft dann rundll32.exe mit einem kurzen Pfadnamen (C:DOCUME~1ALLUSE~1IEHelpermshtml.dll) auf, um schädliches JavaScript auszuführen, das Persistenz herstellt.
  4. Ergebnis: Beide Befehle erzeugen eindeutige Prozess-Erstellungsereignisse, die der Sigma-Regel auswahl1 and auswahl2 entsprechen und einen Alarm auslösen.

Regressionstest-Skript:

# -------------------------------------------------
# APT15-Simulationsskript – löst Sigma-Regel aus
# -------------------------------------------------

# 1. Erstellen Sie Staging-Verzeichnisse und Dummy-Dateien
$src = "C:usersREDACTEDDesktop"
$dst = "C:windowstempwmi"
New-Item -Path $src -ItemType Directory -Force | Out-Null
New-Item -Path $dst -ItemType Directory -Force | Out-Null
Set-Content -Path "$srcsecret.txt" -Value "sensitive data" -Encoding UTF8

# 2. Führen Sie den exakten xcopy-Befehl aus, der von APT15 verwendet wird
$xcopyCmd = "xcopy /D:09-29-2021 /S/Y/C c:usersREDACTEDDesktop c:windowstempwmi"
Invoke-Expression $xcopyCmd

# 3. Bereitstellen der bösartigen DLL (simuliert durch Kopieren einer legitimen DLL)
$malDllSrc = "$env:SystemRootSystem32mshtml.dll"
$malDllDst = "C:DOCUME~1ALLUSE~1IEHelpermshtml.dll"
New-Item -Path (Split-Path $malDllDst) -ItemType Directory -Force | Out-Null
Copy-Item -Path $malDllSrc -Destination $malDllDst -Force

# 4. Führen Sie rundll32 mit dem genauen APT15-Argumentmuster aus
$rundllCmd = "rundll32.exe C:DOCUME~1ALLUSE~1IEHelpermshtml.dll, IEHelper"
Invoke-Expression $rundllCmd

# -------------------------------------------------
# Ende der Simulation
# -------------------------------------------------

Bereinigungskommandos:

# Entfernen Sie Staging-Dateien und -Verzeichnisse
Remove-Item -Path "C:usersREDACTEDDesktopsecret.txt" -Force -ErrorAction SilentlyContinue
Remove-Item -Path "C:windowstempwmi" -Recurse -Force -ErrorAction SilentlyContinue

# Entfernen Sie den gefälschten IEHelper-Ordner und die DLL
Remove-Item -Path "C:DOCUME~1ALLUSE~1IEHelper" -Recurse -Force -ErrorAction SilentlyContinue

# Optional: Stoppen Sie Sysmon (wenn nur für den Test benötigt)
# & "$env:ProgramFilesSysinternalsSysmon.exe" -u