Panda Acuático (Earth Lusca): Campañas, Malware y TTPs
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Aquatic Panda es un grupo APT alineado con China que se centra en la recopilación de inteligencia y el espionaje industrial. El grupo utiliza un arsenal diverso de malware, incluidos SprySOCKS, ShadowPad y BIOPASS RAT, para atacar industrias críticas. Sus operaciones también implican la explotación de vulnerabilidades como Log4Shell y el uso de rootkits avanzados para mantener la ocultación.
Investigación
El informe describe múltiples campañas, incluidas la Operación FishMedley y ataques que involucran servidores VMware Horizon. Examina el diseño técnico del backdoor SprySOCKS, incluidas sus funcionalidades de rootkit en modo kernel y características de persistencia. El análisis también desglosa las TTPs específicas del grupo para el acceso inicial, ejecución y evasión de defensas.
Mitigación
Las organizaciones deben validar sus defensas contra las técnicas conocidas de Aquatic Panda utilizando plataformas de simulación y pruebas. Las mitigaciones clave incluyen parches para vulnerabilidades de Log4j como CVE-2021-44228 y monitoreo de tareas programadas no autorizadas o cambios sospechosos en servicios de Windows. Una fuerte detección de endpoints también es esencial para identificar la actividad de carga de DLL y la inyección de procesos.
Respuesta
Si se detecta actividad de Aquatic Panda, los respondedores deben aislar los sistemas afectados inmediatamente para detener el movimiento lateral. Las investigaciones deben centrarse en cambios no autorizados en el registro, especialmente dentro de los procesadores de impresión o configuraciones IFEO. El análisis forense debe dar prioridad a la recopilación de memoria de procesos sospechosos y auditoría de tareas programadas y servicios de Windows.
"flowchart TD step_resource_development["Desarrollo de Recursos: Registro de dominios de homoglifos y puesta en escena de herramientas JNDI/Log4Shell"] step_initial_access["Acceso Inicial: Explotación de Log4j (CVE-2021-44228) en VMware Horizon"] step_execution["Ejecución: Descarga de PowerShell, cmd/C con curl/wget, Tareas Programadas y Servicios de Windows"] step_persistence["Persistencia: Creación de Servicios de Windows, Tareas Programadas y registro de DLL de Procesadores de Impresión"] step_privilege_escalation["Escalada de Privilegios: Inyección IFEO y Manipulación de Token de Acceso vía CreateProcessAsUserW"] step_defense_impairment["Impugnación de Defensa: Modificación del Firewall del Host de Windows con suplantación ICMPv6"] step_credential_access["Acceso a Credenciales: Volcado de memoria de LSASS, robo de colmena SAM/SYSTEM, robo de credenciales del navegador y DLL de Filtro de Contraseña"] step_discovery["Descubrimiento: Enumeración de servicios, procesos, información del sistema y productos de seguridad de software"] step_collection["Colección: Registro de teclas y archivado de datos con WinRAR"] step_command_and_control["Comando y Control: TCP/UDP/WebSockets con AES-128 y Señalización de Tráfico basada en WFP"] step_stealth["Ocultamiento: Rootkit en modo kernel (RawWNPF), Inyección de Procesos, Carga de DLL y Evasión de Sandbox"] rules_for_step_stealth("<b>Nombre de la Regla</b>: Ruta de Proceso Sospechosa (vía línea de comandos)<br/><b>ID de la Regla</b>: f28587e8-2aa1-4e6b-bdd1-ad0ce520346a") step_exfiltration["Exfiltración: Transferencia de datos vía C2 o Dropbox (dbxcli)"] step_resource_development –>|lleva_a| step_initial_access step_initial_access –>|lleva_a| step_execution step_execution –>|lleva_a| step_persistence step_persistence –>|lleva_a| step_privilege_escalation step_privilege_escalation –>|lleva_a| step_defense_impairment step_defense_impairment –>|lleva_a| step_credential_access step_credential_access –>|lleva_a| step_discovery step_discovery –>|lleva_a| step_collection step_collection –>|lleva_a| step_command_and_control step_command_and_control –>|lleva_a| step_stealth step_stealth –>|lleva_a| step_exfiltration step_stealth -.->|detectado_por| rules_for_step_stealth "
Flujo de Ataque
Detecciones
Posible Compresión de Datos para Infiltración o Exfiltración (vía línea de comandos)
Ver
Posible Enumeración de Servicios (vía línea de comandos)
Ver
Posible Volcado SAM/SYSTEM/SECURITY (vía línea de comandos)
Ver
Posible Volcado de Credenciales Usando Comsvcs.dll (vía línea de comandos)
Ver
Posible volcado de credenciales usando comsvcs.dll (vía powershell)
Ver
Modificaciones Sospechosas del Firewall vía CLI (vía línea de comandos)
Ver
Cadena de Procesos del Sistema Anormal (vía creación_de_procesos)
Ver
Posibles Características de Accesibilidad vía Abuso de Registro (vía línea de comandos)
Ver
Puntos de Persistencia Posibles [ASEPs – Hive de Software/NTUSER] (vía evento_registro)
Ver
Creación de Servicio Sospechoso para Persistencia (vía sistema)
Ver
Operaciones de Imagen de Servicio por Proceso Raro (vía evento_registro)
Ver
Ubicación de Ejecución de Ejecutable/Script Sospechosa vía [cmd.exe /C] (vía línea de comandos)
Ver
Llamadas a Clases/Métodos .NET Sospechosos desde Powershell CommandLine (vía creación_de_procesos)
Ver
Schtasks Apunta a Directorio / Binario / Script Sospechoso (vía línea de comandos)
Ver
Ruta de Proceso Sospechosa (vía línea de comandos)
Ver
Asignación de Memoria para Hollowing de Procesos [Windows Sysmon]
Ver
Modificaciones del Registro para Secuestro de Depuradores y Persistencia del Procesador de Impresión [Evento del Registro de Windows]
Ver
Creación de Tarea Programada y Descarga Maliciosa de PowerShell [Creación de Procesos de Windows]
Ver
## Ejecución de Simulación
Requisito previo: La Verificación de Telemetría y Línea de Base debe haber sido aprobada.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activarse con la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar exactamente la telemetría esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.
-
Narrativa del Ataque y Comandos: Un adversario pretende realizar el hollowing de procesos para ocultar código malicioso dentro de un contenedor de proceso legítimo. Para probar si el actual (aunque imperfecto) sistema de detección se dispara, el adversario lanzará
powershell.exedesde un directorio específico. Esto simula la fase inicial de un ataque de Viviendo de la Tierra (LotL) donde el adversario usa una herramienta estándar del sistema para comenzar sus actividades maliciosas, como la inyección de memoria o la extracción de credenciales. El objetivo es generar unEvento de Creación de Procesoevento donde elImagencampo contenga una barra inversa, como se define en la lógica de detección. -
Script de Prueba de Regresión:
# Simulando un lanzamiento de proceso que satisface la lógica de detección (débil) # Esto imita el inicio de una sesión del adversario usando una herramienta estándar $targetProcess = "C:WindowsSystem32WindowsPowerShellv1.0powershell.exe" Write-Host "Ejecutando: $targetProcess" Start-Process -FilePath $targetProcess -ArgumentList "-NoProfile -ExecutionPolicy Bypass -Command Write-Host 'Simulación Activa'" -
Comandos de Limpieza:
# No se realizaron cambios persistentes; no se requiere limpieza para esta simulación. Write-Host "Limpieza de simulación completa."