Búsqueda de Negocios APT y Ataques Dirigidos dentro de Shadow-Earth-053: Una Campaña de Ciberespionaje Alineada con China Contra Sectores Gubernamentales y de Defensa en Asia
Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Un grupo de amenazas alineado con China, rastreado como SHADOW-EARTH-053, ha estado explotando servidores Microsoft Exchange e IIS no parchados a través de la cadena de vulnerabilidades ProxyLogon para desplegar web shells e instalar la familia de malware ShadowPad. El grupo utiliza carga DLL a través de binarios firmados legítimos, ejecución de cargas útiles basadas en el registro y múltiples herramientas de túnel para preservar el acceso encubierto de comando y control. Las víctimas observadas incluyen ministerios gubernamentales, contratistas vinculados a la defensa y entidades de transporte en varios países asiáticos, así como un estado miembro de la OTAN. La actividad destaca el peligro continuo que representan los fallos antiguos de Exchange cuando se combinan con técnicas maduras de post-compromiso.
Investigación
Los investigadores documentaron la implementación de web shells utilizando nombres de archivo como error.aspx and tunnel.ashx en directorios comunes de IIS, seguido de la entrega de ShadowPad mediante carga DLL con ejecutables confiables como runtimebroker.exe. También identificaron puertas traseras adicionales, incluyendo mdync.exe, comunicándose con infraestructura externa, mientras que herramientas de túnel como GOST, Wstunnel y code.exe fueron preparadas en C:UsersPublic. La actividad de robo de credenciales involucró Mimikatz y utilidades personalizadas como Evil-CreateDump and newdcsync, ejecutadas a través del proceso de trabajo de IIS. La persistencia fue apoyada a través de cambios de registro como LocalAccountTokenFilterPolicy y tareas programadas, incluidas M1onltor.
Mitigación
Las organizaciones deben aplicar todas las actualizaciones de seguridad disponibles para Microsoft Exchange Server e IIS, dando prioridad a los CVE relacionados con ProxyLogon. Los cortafuegos de aplicaciones web o controles de prevención de intrusiones deben configurarse para bloquear intentos de explotación antes de la ejecución. Los defensores también deben reforzar el monitoreo de integridad de archivos en directorios de cara al público y prevenir la creación no autorizada de .aspx, .ashx, o .jsp archivos. Otros pasos de endurecimiento incluyen restringir los permisos de proceso de IIS, reducir el acceso de escritura, monitorear procesos secundarios lanzados por w3wp.exe, desactivar servicios no utilizados y aplicar listas de permisos de aplicaciones en servidores críticos.
Respuesta
Los equipos de seguridad deben alertar sobre la aparición de .aspx or .ashx archivos desconocidos dentro de rutas de IIS y sobre tareas programadas llamadas M1onltor. La cobertura de detección también debe incluir la ejecución de herramientas como Mimikatz y PowerView, así como actividad de carga DLL que involucre binarios firmados. La comunicación de salida a las direcciones IP maliciosas identificadas y el dominio check[.]office365-update[.]com debe ser bloqueada de inmediato. Los respondedores de incidentes deben realizar luego una revisión forense de valores sospechosos bajo HKEY_CURRENT_USERSoftware y eliminar cualquier tarea programada no autorizada o artefactos de persistencia.
"graph TB %% Clase de definiciones secciones classDef technique fill:#99ccff classDef operator fill:#ff9900 %% Node definitions tech_exploit_pf["<b>Techniques</b> – <b>T1190 Explotación de Aplicaciones Expuestas</b><br/>Los adversarios explotan vulnerabilidades en aplicaciones accesibles por Internet para ganar acceso inicial."] class tech_exploit_pf technique tech_webshell["<b>Techniques</b> – <b>T1505.003 Componente de Software de Servidor Web Shell</b><br/>Los adversarios instalan un web shell en un servidor comprometido para mantener acceso persistente."] class tech_webshell technique tech_code_sign["<b>Techniques</b> – <b>T1553.002 Subvertir Controles de Confianza Firma de Código</b><br/>Los adversarios cargan laterales DLL firmadas para ejecutar código malicioso mientras aparentan ser de confianza."] class tech_code_sign technique tech_masquerade["<b>Techniques</b> – <b>T1036 Suplantación</b><br/>Los adversarios renombran utilidades y las empaquetan con herramientas como RingQ para lucir legítimas."] class tech_masquerade technique tech_cred_dump["<b>Techniques</b> – <b>T1003 Volcado de Credenciales del Sistema Operativo</b><br/>Los adversarios obtienen credenciales del sistema operativo utilizando herramientas como Mimikatz, Evil CreateDump o DCSync."] class tech_cred_dump technique tech_account_manip["<b>Techniques</b> – <b>T1098.002 Manipulación de Cuentas Permisos de Delegado de Correo Electrónico</b><br/>Los adversarios se añaden como delegados en buzones de correo de las víctimas para leer y enviar correos electrónicos."] class tech_account_manip technique tech_exploit_remote["<b>Techniques</b> – <b>T1210 Explotación de Servicios Remotos</b><br/>Los adversarios usan WMIC o SMBExec para ejecutar comandos en hosts remotos para movimiento lateral."] class tech_exploit_remote technique tech_proxy["<b>Techniques</b> – <b>T1090 Proxy</b><br/>Los adversarios emplean herramientas de proxy como GOST, Wstunnel o núcleo de tunnel para retransmitir tráfico a través de múltiples saltos."] class tech_proxy technique tech_tunnel["<b>Techniques</b> – <b>T1572 Tunelización de Protocolos</b><br/>Los adversarios tunelizan tráfico sobre los protocolos SOCKS5 o HTTPS para comunicarse con comando y control."] class tech_tunnel technique tech_email_collect["<b>Techniques</b> – <b>T1114 Recolección de Correos Electrónicos</b><br/>Los adversarios cosechan datos de correo electrónico de servidores Exchange usando APIs de Exchange Web Services."] class tech_email_collect technique tech_archive["<b>Techniques</b> – <b>T1567.001 Archivar Datos Recogidos</b><br/>Los adversarios comprimen datos robados en un archivo RAR protegido con contraseña para su exfiltración."] class tech_archive technique %% Conexiones mostrando flujo tech_exploit_pf –>|conduce a| tech_webshell tech_webshell –>|usa| tech_code_sign tech_webshell –>|usa| tech_masquerade tech_webshell –>|habilita| tech_cred_dump tech_cred_dump –>|habilita| tech_account_manip tech_webshell –>|habilita| tech_exploit_remote tech_exploit_remote –>|facilita| tech_proxy tech_proxy –>|habilita| tech_tunnel tech_webshell –>|habilita| tech_email_collect tech_email_collect –>|conduce a| tech_archive "
Flujo de Ataque
Detecciones
Posible Explotación de Servidor Web o WebApp [Windows] (vía cmdline)
Ver
Posible Enumeración / Manipulación de Cuentas o Grupos (vía cmdline)
Ver
Ejecución Sospechosa desde el Perfil de Usuario Público (vía creación de proceso)
Ver
Posibles Argumentos de Mimikatz Detectados (vía cmdline)
Ver
Posibles Patrones de Carga de Dll del Malware ShadowPad (vía carga de imagen)
Ver
Posible Creación de Webshell en Directorios de Microsoft Exchange / Sharepoint (vía evento de archivo)
Ver
IOC (HashSha256) para detectar: Búsqueda empresarial de APT y ataques dirigidos dentro de Shadow-Earth-053: Una Campaña de Ciberespionaje Alineada con China Contra Sectores Gubernamentales y de Defensa en Asia
Ver
IOC (SourceIP) para detectar: Búsqueda empresarial de APT y ataques dirigidos dentro de Shadow-Earth-053: Una Campaña de Ciberespionaje Alineada con China Contra Sectores Gubernamentales y de Defensa en Asia
Ver
IOC (DestinationIP) para detectar: Búsqueda empresarial de APT y ataques dirigidos dentro de Shadow-Earth-053: Una Campaña de Ciberespionaje Alineada con China Contra Sectores Gubernamentales y de Defensa en Asia
Ver
Detección de Herramientas Potenciales de Staging de Túneles en Directorios Comunes [Evento de Archivo de Windows]
Ver
Detección de Comunicación de Balizamiento y C&C en la Campaña SHADOW-EARTH-053 [Conexión de Red de Windows]
Ver
Detección de Explotación de Vulnerabilidades de Microsoft Exchange por Shadow-Earth-053 [Servidor Web]
Ver
Ejecución de Simulación
Prerrequisito: La verificación preliminar de Telemetría y Línea de base debe haber pasado.
Racional: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTP identificadas y apuntar a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa de Ataque y Comandos:
Un adversario ha obtenido un binario personalizado de tunneling (por ejemplo,tunnel.exe) en el host comprometido. Para evitar la detección durante la descarga inicial, el binario se prepara enC:ProgramData, un directorio comúnmente escribible por usuarios estándar y frecuentemente utilizado para instalaciones legítimas. Después de la preparación, el atacante ejecutará posteriormente la herramienta para establecer un canal encubierto. El paso de preparación se realiza con elCopy-Itemde PowerShell, produciendo un evento de creación de archivo que coincide con los criterios de ruta de la regla de detección. -
Script de Prueba de Regresión:
# Simulación de herramientas en preparación en un directorio supervisado $stagingPath = "C:ProgramDatatunnel.exe" $payload = [IO.Path]::GetTempFileName() # Crear un binario ficticio (bytes aleatorios) para imitar una herramienta real $rand = New-Object byte[] 1024 (New-Object System.Random).NextBytes($rand) Set-Content -Path $payload -Value $rand -Encoding Byte -Force # Copiar el binario ficticio a la ubicación de preparación Copy-Item -Path $payload -Destination $stagingPath -Force # Salida para verificación manual Write-Host "Staged dummy tunneling tool at $stagingPath" -
Comandos de Limpieza:
# Eliminar el archivo preparado y la carga útil temporal Remove-Item -Path "C:ProgramDatatunnel.exe" -Force -ErrorAction SilentlyContinue Remove-Item -Path $payload -Force -ErrorAction SilentlyContinue Write-Host "Limpieza completada."