Operation DragonReturn: China-verbundenes Spionageoperation zielt auf Indiens Steuerinfrastruktur ab
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Eine raffinierte, China-nahe Cyber-Espionage-Kampagne zielt auf Indiens Steuersystem ab, indem das Finanzministerium nachgeahmt wird. Die Operation nutzt Spearphishing-E-Mails mit bösartigen Anhängen, um eine mehrstufige DcRAT-Infektionskette zu liefern. Die Malware setzt auf Steganographie, AMSI-Umgehung und dateilose .NET-Ausführung, um auf kompromittierten Systemen dauerhaft zu bestehen und sensible Informationen abzuziehen.
Untersuchung
Seqrite Lab deckte die Kampagne durch die Analyse einer mehrstufigen Infektionskette auf, die um ein gefälschtes Regierungswerkzeug herum aufgebaut ist. Die Untersuchung zeigte den Einsatz eines leichten Launchers, der eine DLL aufruft, die dann Code in svchost.exe injiziert. Analysten identifizierten auch steganografische Nutzlasten, die in einem JPG-Bild verborgen waren, und beobachteten verschlüsselten Command-and-Control-Verkehr über TLS.
Minderung
Organisationen sollten starke E-Mail-Filter einsetzen, um verdächtige Anhänge und Links zu blockieren, die von nachgeahmten Regierungsdomänen gesendet werden. Sicherheitsteams sollten die Erstellung unautorisierter Windows-Dienste überwachen, insbesondere Dienste, die als legitime Komponenten wie Windows Mixed Reality getarnt sind. Das Durchsetzen strikter UAC-Richtlinien und das Überwachen verdächtiger in-memory .NET-Ausführungen kann ebenfalls helfen, die Auswirkungen eines Kompromisses zu reduzieren.
Reaktion
Wenn diese Aktivität festgestellt wird, sollten betroffene Endpunkte sofort isoliert werden, um zusätzliche Command-and-Control-Kommunikation und Datendiebstahl zu verhindern. Ermittler sollten Speicherforensik betreiben, um injizierten Code in svchost.exe zu identifizieren und nach unautorisierten Diensten wie MixedSvc zu suchen. Netzwerklogs sollten ebenfalls auf Verbindungen zu den identifizierten Domains und IP-Adressen überprüft werden, während die Incident Response sich auf die Rotation von Anmeldedaten und die Überprüfung der Systemintegrität konzentrieren sollte.
Angriffsfluss
Erkennungen
Verdächtige Dienst-Erstellung für Persistenz (via System)
Ansicht
Operation DragonReturn C2 Kommunikations-Erkennung [Windows Netzwerkverbindung]
Ansicht
Erkenne Prozessinjektion unter Einbeziehung von VirtualAlloc und CreateToolhelp32Snapshot [Windows Sysmon]
Ansicht
Erkannte bösartige Persistenz über Mixed Reality Dienst [Windows Prozess-Erstellung]
Ansicht
Simulationsausführung
Voraussetzung: Die Telemetrie- & Baseline-Vorflugkontrolle muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die darauf ausgelegt ist, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und zielen darauf ab, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.
-
Angriffs-Narrativ & Befehle: Ein Angreifer hat erfolgreich einen zweite Stufe Dropper eingesetzt. Um Persistenz zu etablieren und weitere Anweisungen zu erhalten, versucht die Malware, ihre festverdrahtete C2-Infrastruktur zu erreichen. Das Ziel des Angreifers ist es, Standard-Webproxys zu umgehen, indem ein nicht standardmäßiger Port (2671) verwendet wird. Die Simulation wird PowerShell verwenden, um dieses Verhalten nachzuahmen, indem versucht wird, eine TCP-Verbindung zum spezifischen Domain
kkxqbh.topauf Port2671, wodurch die genaueDomainandPortTelemetrie erzeugt wird, die von der Erkennungsregel benötigt wird. -
Regressionstest-Skript:
# Simulation der DragonReturn C2 Kommunikation $C2Domain = "kkxqbh.top" $C2Port = 2671 Write-Host "[+] Versuch, C2-Verbindung zu $C2Domain auf Port $C2Port zu simulieren..." try { # Verwendung eines TCP-Clients, um eine Verbindung zu den spezifischen IoCs zu initiieren $tcpClient = New-Object System.Net.Sockets.TcpClient $connection = $tcpClient.BeginConnect($C2Domain, $C2Port, $null, $null) # Kurze Wartezeit, um Telemetrie zu erzeugen $success = $connection.AsyncWaitHandle.WaitOne(5000, $false) if ($success) { Write-Host "[!] Verbindung hergestellt (Simulierter C2-Erfolg)." } else { Write-Host "[?] Verbindung fehlgeschlagen (erwartet, wenn Domain inaktiv ist), aber Telemetrie sollte generiert worden sein." } $tcpClient.Close() } catch { Write-Host "[!] Fehler während der Simulation: $_" } -
Bereinigung Befehle:
# Keine dauerhaften Änderungen vorgenommen; keine Bereinigung für diese netzwerk-only Simulation erforderlich. Write-Host "[+] Simulation abgeschlossen. Keine Systemänderungen wurden vorgenommen."