Geschäftssuche APT & Zielgerichtete Angriffe im Schatten von Shadow-Earth-053: Eine China-ausgerichtete Cyber-Spionagekampagne gegen Regierungs- und Verteidigungssektoren in Asien
Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Ein China-ausgerichteter Bedrohungscluster, der als SHADOW-EARTH-053 nachverfolgt wird, hat ungepatchte Microsoft Exchange- und IIS-Server mit der ProxyLogon-Schwachstellenkette ausgenutzt, um Web-Shells zu installieren und die Malware-Familie ShadowPad zu installieren. Die Gruppe verlässt sich auf DLL-Sideloading durch legitime, signierte Binärdateien, registrierungsbasierte Payload-Ausführung und mehrere Tunneling-Tools, um heimlichen Kommando- und Kontrollzugang zu bewahren. Beobachtete Opfer umfassen Regierungsministerien, verteidigungsnahe Auftragnehmer und Transportunternehmen in mehreren asiatischen Ländern sowie einem NATO-Mitgliedsstaat. Die Aktivität hebt die anhaltende Gefahr hervor, die von älteren Exchange-Schwachstellen in Verbindung mit ausgereifter Post-Compromise-Technik ausgeht.
Untersuchung
Forscher dokumentierten die Bereitstellung von Web-Shells mit Dateinamen wie error.aspx and tunnel.ashx in üblichen IIS-Verzeichnissen, gefolgt von der Lieferung von ShadowPad durch DLL-Sideloading mit vertrauenswürdigen ausführbaren Dateien wie runtimebroker.exe. Sie identifizierten auch zusätzliche Hintertüren, einschließlich mdync.exe, die mit externer Infrastruktur kommunizieren, während Tunneling-Tools wie GOST, Wstunnel und code.exe in C:UsersPublicstaged wurden. Aktivität zum Diebstahl von Anmeldeinformationen umfasste Mimikatz und benutzerdefinierte Dienstprogramme wie Evil-CreateDump and newdcsync, die über den IIS-Arbeitsprozess ausgeführt wurden. Persistenz wurde durch Registrierungsänderungen wie LocalAccountTokenFilterPolicy und geplante Aufgaben wie M1onltor.
Minderung
Organisationen sollten alle verfügbaren Sicherheitsupdates für Microsoft Exchange Server und IIS anwenden, wobei den ProxyLogon-bezogenen CVEs Priorität eingeräumt werden sollte. Webanwendungsfirewalls oder Intrusion Prevention Controls sollten so konfiguriert werden, dass Exploit-Versuche vor der Ausführung blockiert werden. Verteidiger sollten auch die Überwachung der Dateiintegrität in webbezogenen Verzeichnissen durchsetzen und die unautorisierte Erstellung von .aspx, .ashx, oder .jsp -Dateien verhindern. Weitere Härtungsschritte umfassen die Einschränkung der IIS-Prozessberechtigungen, die Reduzierung des Schreibzugriffs, die Überwachung von Unterprozessen, die von w3wp.exegestartet werden, die Deaktivierung ungenutzter Dienste und die Anwendung von Anwendungs-Whitelisting auf kritischen Servern.
Reaktion
Sicherheitsteams sollten auf das Auftreten unbekannter .aspx or .ashx -Dateien innerhalb von IIS-Pfaden und auf geplante Aufgaben mit Namen M1onltorachten. Die Erkennung sollte auch die Ausführung von Tools wie Mimikatz und PowerView sowie DLL-Sideloading-Aktivitäten mit signierten Binärdateien einschließen. Ausgehende Kommunikation zu den identifizierten bösartigen IP-Adressen und der Domain check[.]office365-update[.]com sollte sofort blockiert werden. Vorfallsreakteure sollten dann eine forensische Überprüfung verdächtiger Werte unter HKEY_CURRENT_USERSoftware durchführen und unautorisierte geplante Aufgaben oder Persistenzartefakte entfernen.
"graph TB %% Abschnitt mit Klassendefinitionen classDef technique fill:#99ccff classDef operator fill:#ff9900 %% Knotendefinitionen tech_exploit_pf["<b>Technik</b> – <b>T1190 Öffentlich verfügbare Anwendung ausnutzen</b><br/>Gegner nutzen Schwachstellen in öffentlich zugänglichen Anwendungen aus, um einen ersten Zugang zu erhalten."] class tech_exploit_pf technique tech_webshell["<b>Technik</b> – <b>T1505.003 Serversoftware-Komponente Web Shell</b><br/>Gegner installieren eine Web-Shell auf einem kompromittierten Server, um persistenten Zugang zu bewahren."] class tech_webshell technique tech_code_sign["<b>Technik</b> – <b>T1553.002 Vertrauensteuerungen durch Code-Signierung unterlaufen</b><br/>Gegner sideloaden signierte DLLs, um bösartigen Code auszuführen und dabei vertrauenswürdig zu erscheinen."] class tech_code_sign technique tech_masquerade["<b>Technik</b> – <b>T1036 Maskierung</b><br/>Gegner benennen Dienstprogramme um und packen sie mit Tools wie RingQ, damit sie legitim aussehen."] class tech_masquerade technique tech_cred_dump["<b>Technik</b> – <b>T1003 Betriebssystem-Zugangsdatenentnahme</b><br/>Gegner erhalten Zugangsdaten aus dem Betriebssystem mit Tools wie Mimikatz, Evil CreateDump oder DCSync."] class tech_cred_dump technique tech_account_manip["<b>Technik</b> – <b>T1098.002 Kontomanipulation E-Mail-Delegiertenberechtigungen</b><br/>Gegner fügen sich selber als Delegierte in Opfermailboxen hinzu, um E-Mails zu lesen und zu senden."] class tech_account_manip technique tech_exploit_remote["<b>Technik</b> – <b>T1210 Ausnutzung von Fernzugriffsdiensten</b><br/>Gegner verwenden WMIC oder SMBExec, um Befehle auf entfernten Hosts für seitliche Bewegungen auszuführen."] class tech_exploit_remote technique tech_proxy["<b>Technik</b> – <b>T1090 Proxy</b><br/>Gegner verwenden Proxy-Tools wie GOST, Wstunnel oder Tunnel-Toolkerne, um Verkehr durch mehrere Hops zu leiten."] class tech_proxy technique tech_tunnel["<b>Technik</b> – <b>T1572 Protokoll-Tunneling</b><br/>Gegner tunneln Verkehr über SOCKS5- oder HTTPS-Protokolle, um mit Kommandound Kontrolle zu kommunizieren."] class tech_tunnel technique tech_email_collect["<b>Technik</b> – <b>T1114 E-Mail-Sammlung</b><br/>Gegner sammeln E-Mail-Daten von Exchange-Servern unter Verwendung von Exchange Web Services-APIs."] class tech_email_collect technique tech_archive["<b>Technik</b> – <b>T1567.001 Archiv gesammelter Daten</b><br/>Gegner komprimieren gestohlene Daten in einem passwortgeschützten RAR-Archiv zur Exfiltration."] class tech_archive technique %% Verbindungen des Flusses zeigen tech_exploit_pf –>|führt zu| tech_webshell tech_webshell –>|verwendet| tech_code_sign tech_webshell –>|verwendet| tech_masquerade tech_webshell –>|ermöglicht| tech_cred_dump tech_cred_dump –>|ermöglicht| tech_account_manip tech_webshell –>|ermöglicht| tech_exploit_remote tech_exploit_remote –>|ermöglicht| tech_proxy tech_proxy –>|ermöglicht| tech_tunnel tech_webshell –>|ermöglicht| tech_email_collect tech_email_collect –>|führt zu| tech_archive "
Angriffsfluss
Erkennungen
Mögliche Ausnutzung von Webserver oder Webanwendungen [Windows] (per cmdline)
Ansehen
Mögliche Konten- oder Gruppenzählung / Manipulation (per cmdline)
Ansehen
Verdächtige Ausführung aus öffentlichem Benutzerprofil (per process_creation)
Ansehen
Mögliche Mimikatz-Argumente erkannt (per cmdline)
Ansehen
Mögliche ShadowPad-Malware-DLL-Lademuster (per image_load)
Ansehen
Mögliche Webshell-Erstellung in Microsoft Exchange- / SharePoint-Verzeichnissen (per file_event)
Ansehen
IOCs (HashSha256) zum Erkennen: Geschäftssuche APT & gezielte Angriffe im Inneren von Shadow-Earth-053: eine China-ausgerichtete Cyber-Spionagekampagne gegen Regierungs- und Verteidigungssektoren in Asien
Ansehen
IOCs (SourceIP) zum Erkennen: Geschäftssuche APT & gezielte Angriffe im Inneren von Shadow-Earth-053: eine China-ausgerichtete Cyber-Spionagekampagne gegen Regierungs- und Verteidigungssektoren in Asien
Ansehen
IOCs (DestinationIP) zum Erkennen: Geschäftssuche APT & gezielte Angriffe im Inneren von Shadow-Earth-053: eine China-ausgerichtete Cyber-Spionagekampagne gegen Regierungs- und Verteidigungssektoren in Asien
Ansehen
Erkennung potenzieller Tunneling-Tools-Staging in gebräuchlichen Verzeichnissen [Windows File Event]
Ansehen
Erkennung von Beaconing- und C&C-Verbindungen in SHADOW-EARTH-053-Kampagne [Windows-Netzwerkverbindung]
Ansehen
Erkennung von Shadow-Earth-053, der Microsoft Exchange-Schwachstellen ausnutzt [Webserver]
Ansehen
Simulation der Ausführung
Voraussetzung: Die Telemetrie- & Grundbaseline-Vorflugkontrolle muss bestanden haben.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Technik des Angreifers (TTP), die zur Auslösung der Erkennungsregel entwickelt wurde. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.
-
Angriffserzählung & Befehle:
Ein Angreifer hat ein benutzerdefiniertes Tunneling-Binary (z.B.tunnel.exe) auf dem kompromittierten Host erhalten. Um eine Erkennung während des Initialdownloads zu vermeiden, wird das Binary inC:ProgramDatagestaged, ein Verzeichnis, das häufig von Standardbenutzern beschreibbar ist und häufig für legitime Installationen verwendet wird. Nach dem Staging wird der Angreifer das Tool später ausführen, um einen verdeckten Kanal zu etablieren. Der Staging-Schritt wird mit PowerShell’sCopy-Itemdurchgeführt, was ein Datei-Erstellungsereignis erzeugt, das den Pfadkriterien der Erkennungsregel entspricht. -
Regressionstest-Skript:
# Simulation der Tool-Staging in einem überwachten Verzeichnis $stagingPath = "C:ProgramData unnel.exe" $payload = [IO.Path]::GetTempFileName() # Erstelle ein Dummy-Binary (zufällige Bytes), um ein echtes Tool zu imitieren $rand = New-Object byte[] 1024 (New-Object System.Random).NextBytes($rand) Set-Content -Path $payload -Value $rand -Encoding Byte -Force # Kopiere das Dummy-Binary an den Staging-Standort Copy-Item -Path $payload -Destination $stagingPath -Force # Ausgabe zur manuellen Überprüfung Write-Host "Staged dummy tunneling tool at $stagingPath" -
Bereinigungskommandos:
# Entferne die gestagete Datei und die temporäre Nutzlast Remove-Item -Path "C:ProgramData unnel.exe" -Force -ErrorAction SilentlyContinue Remove-Item -Path $payload -Force -ErrorAction SilentlyContinue Write-Host "Bereinigung abgeschlossen."