Recherche sur les APT & Attaques ciblées au sein de Shadow-Earth-053 : Une campagne de cyberespionnage alignée sur la Chine contre les secteurs gouvernementaux et de la défense en Asie
Suivre 
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Un groupe de menace aligné sur la Chine, suivi sous le nom de SHADOW-EARTH-053, a exploité des serveurs Microsoft Exchange et IIS non corrigés via la chaîne de vulnérabilités ProxyLogon pour déployer des web shells et installer la famille de malwares ShadowPad. Le groupe s’appuie sur le chargement DLL de manière détournée avec des binaires signés légitimes, une exécution de charges utiles basée sur le registre et divers outils de tunneling pour maintenir un accès de commande et de contrôle clandestin. Les victimes observées incluent des ministères du gouvernement, des contractants liés à la défense et des entités de transport dans plusieurs pays asiatiques ainsi qu’un État membre de l’OTAN. L’activité souligne le danger persistant posé par les failles Exchange anciennes lorsqu’elles sont associées à une expertise post-compromis mature.
Enquête
Les chercheurs ont documenté le déploiement de web shells utilisant des noms de fichiers tels que error.aspx and tunnel.ashx dans les répertoires IIS communs, suivi de la livraison de ShadowPad par chargement DLL détourné avec des exécutables de confiance tels que runtimebroker.exe. Ils ont également identifié des portes dérobées supplémentaires, notamment mdync.exe, communiquant avec une infrastructure externe, tandis que des outils de tunneling tels que GOST, Wstunnel, et code.exe étaient mis en scène dans C:UsersPublic. L’activité de vol de références impliquait Mimikatz et des utilitaires personnalisés comme Evil-CreateDump and newdcsync, exécutés via le processus travailleur IIS. La persistance était soutenue par des modifications du registre telles que LocalAccountTokenFilterPolicy et des tâches planifiées y compris M1onltor.
Atténuation
Les organisations devraient appliquer toutes les mises à jour de sécurité disponibles pour Microsoft Exchange Server et IIS, avec une priorité accordée aux CVE liés à ProxyLogon. Les pare-feux d’applications web ou les contrôles de prévention d’intrusion devraient être configurés pour bloquer les tentatives d’exploitation avant l’exécution. Les défenseurs devraient également imposer un contrôle d’intégrité des fichiers sur les répertoires accessibles depuis le web et empêcher la création non autorisée de fichiers .aspx, .ashx, ou .jsp . Des mesures de renforcement supplémentaires incluent la restriction des permissions du processus IIS, la réduction de l’accès en écriture, la surveillance des processus enfants lancés par w3wp.exe, la désactivation des services inutilisés et l’application de la liste blanche d’applications sur les serveurs critiques.
Réponse
Les équipes de sécurité devraient alerter sur l’apparition de .aspx or .ashx fichiers inconnus dans les chemins IIS et sur les tâches planifiées nommées M1onltor. La couverture de détection devrait également inclure l’exécution d’outils tels que Mimikatz et PowerView, ainsi que l’activité de chargement DLL impliquant des binaires signés. La communication sortante vers les adresses IP malveillantes identifiées et le domaine check[.]office365-update[.]com devrait être bloquée immédiatement. Les intervenants en cas d’incident devraient ensuite effectuer un examen médico-légal des valeurs suspectes sous HKEY_CURRENT_USERSoftware et supprimer toutes les tâches programmées ou artefacts de persistance non autorisés.
"graph TB %% Section des définitions de classes classDef technique fill:#99ccff classDef operator fill:#ff9900 %% Définitions des nœuds tech_exploit_pf["<b>Technique</b> – <b>T1190 Exploiter Application Publique Orientée</b><br/>Les adversaires exploitent des vulnérabilités dans les applications exposées à Internet pour obtenir un accès initial."] class tech_exploit_pf technique tech_webshell["<b>Technique</b> – <b>T1505.003 Composant Logiciel Serveur Web Shell</b><br/>Les adversaires installent un web shell sur un serveur compromis pour maintenir un accès persistant."] class tech_webshell technique tech_code_sign["<b>Technique</b> – <b>T1553.002 Subvertir les Contrôles de Confiance Signature de Code</b><br/>Les adversaires chargent des DLL signées pour exécuter du code malveillant tout en semblant dignes de confiance."] class tech_code_sign technique tech_masquerade["<b>Technique</b> – <b>T1036 Mascarade</b><br/>Les adversaires renomment des utilitaires et les emballent avec des outils tels que RingQ pour paraître légitimes."] class tech_masquerade technique tech_cred_dump["<b>Technique</b> – <b>T1003 Extraction de Références OS</b><br/>Les adversaires obtiennent des références auprès du système d’exploitation à l’aide d’outils comme Mimikatz, Evil CreateDump ou DCSync."] class tech_cred_dump technique tech_account_manip["<b>Technique</b> – <b>T1098.002 Manipulation de Compte Permissions Délégué Email</b><br/>Les adversaires s’ajoutent comme délégués aux boîtes mails des victimes pour lire et envoyer des emails."] class tech_account_manip technique tech_exploit_remote["<b>Technique</b> – <b>T1210 Exploitation Services à Distance</b><br/>Les adversaires utilisent WMIC ou SMBExec pour exécuter des commandes sur des hôtes distants pour un mouvement latéral."] class tech_exploit_remote technique tech_proxy["<b>Technique</b> – <b>T1090 Proxy</b><br/>Les adversaires emploient des outils proxy tels que GOST, Wstunnel ou tunnel core pour relayer le trafic à travers plusieurs sauts."] class tech_proxy technique tech_tunnel["<b>Technique</b> – <b>T1572 Tunnel de Protocole</b><br/>Les adversaires tunnelisent le trafic sur les protocoles SOCKS5 ou HTTPS pour communiquer avec commande et contrôle."] class tech_tunnel technique tech_email_collect["<b>Technique</b> – <b>T1114 Collection de Courrier Electronique</b><br/>Les adversaires récoltent des données email des serveurs Exchange à l’aide des API Exchange Web Services."] class tech_email_collect technique tech_archive["<b>Technique</b> – <b>T1567.001 Archivage des Données Collectées</b><br/>Les adversaires compressent les données volées dans une archive RAR protégée par un mot de passe pour l’exfiltration."] class tech_archive technique %% Connexions montrant le flux tech_exploit_pf –>|mène à| tech_webshell tech_webshell –>|utilise| tech_code_sign tech_webshell –>|utilise| tech_masquerade tech_webshell –>|active| tech_cred_dump tech_cred_dump –>|active| tech_account_manip tech_webshell –>|active| tech_exploit_remote tech_exploit_remote –>|facilite| tech_proxy tech_proxy –>|active| tech_tunnel tech_webshell –>|active| tech_email_collect tech_email_collect –>|mène à| tech_archive "
Flux d’attaque
Détections
Exploitation Possible de Serveur Web ou Application Web [Windows] (via cmdline)
Voir
Énumération ou Manipulation Potentielle de Compte ou Groupe (via cmdline)
Voir
Exécution Suspecte depuis le Profil Utilisateur Public (via process_creation)
Voir
Arguments Possibles de Mimikatz Détectés (via cmdline)
Voir
Modèles de Charge DLL Possible par ShadowPad Malware (via image_load)
Voir
Création Possible de Webshell dans les Répertoires Microsoft Exchange / Sharepoint (via file_event)
Voir
IOC (HashSha256) pour détecter: Recherche d’entreprise APT & Attaques Ciblées au sein de Shadow-Earth-053: Une Campagne de Cyberespionnage Alignée sur la Chine Contre les Secteurs Gouvernement et Défense en Asie
Voir
IOC (SourceIP) pour détecter: Recherche d’entreprise APT & Attaques Ciblées au sein de Shadow-Earth-053: Une Campagne de Cyberespionnage Alignée sur la Chine Contre les Secteurs Gouvernement et Défense en Asie
Voir
IOC (DestinationIP) pour détecter: Recherche d’entreprise APT & Attaques Ciblées au sein de Shadow-Earth-053: Une Campagne de Cyberespionnage Alignée sur la Chine Contre les Secteurs Gouvernement et Défense en Asie
Voir
Détection d’Outils de Tunneling Potentiels Mis en Scène dans les Répertoires Communs [Événement Fichier Windows]
Voir
Détection du Beaconing et Connexions C&C dans la Campagne SHADOW-EARTH-053 [Connexion Réseau Windows]
Voir
Détection de l’Exploitation des Vulnérabilités Microsoft Exchange par Shadow-Earth-053 [Serveur Web]
Voir
Exécution de Simulation
Prérequis: Le Contrôle Pré-vol de Télémétrie & Baseline doit avoir réussi.
Raison: Cette section détaille l’exécution précise de la technique d’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et visent à générer la télémétrie exacte attendue par la logique de détection.
-
Narratif d’Attaque & Commandes:
Un adversaire a obtenu un binaire de tunneling personnalisé (par exemple,tunnel.exe) sur l’hôte compromis. Pour éviter la détection pendant le téléchargement initial, le binaire est mis en scène dansC:ProgramData, un répertoire généralement accessible en écriture par les utilisateurs standards et fréquemment utilisé pour des installations légitimes. Après la mise en scène, l’attaquant exécutera ultérieurement l’outil pour établir un canal clandestin. L’étape de mise en scène est réalisée avec le PowerShellCopy-Item, produisant un événement de création de fichier qui correspond aux critères de chemin de la règle de détection. -
Script de Test de Régression:
# Simulation de mise en scène d'outil dans un répertoire surveillé $stagingPath = "C:ProgramDatatunnel.exe" $payload = [IO.Path]::GetTempFileName() # Créer un binaire fictif (octets aléatoires) pour imiter un véritable outil $rand = New-Object byte[] 1024 (New-Object System.Random).NextBytes($rand) Set-Content -Path $payload -Value $rand -Encoding Byte -Force # Copier le binaire fictif vers l'emplacement de mise en scène Copy-Item -Path $payload -Destination $stagingPath -Force # Sortie pour vérification manuelle Write-Host "Outil de tunneling fictif mis en scène à $stagingPath" -
Commandes de Nettoyage:
# Supprimer le fichier mis en scène et la charge utile temporaire Remove-Item -Path "C:ProgramDatatunnel.exe" -Force -ErrorAction SilentlyContinue Remove-Item -Path $payload -Force -ErrorAction SilentlyContinue Write-Host "Nettoyage terminé."