Ricerca aziendale APT & Attacchi mirati all’interno di Shadow-Earth-053: Una campagna di cyber spionaggio allineata alla Cina contro i settori governativo e della difesa in Asia
Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Un gruppo di minaccia allineato con la Cina, seguito come SHADOW-EARTH-053, ha sfruttato server Microsoft Exchange e IIS non patchati tramite la catena di vulnerabilità ProxyLogon per distribuire web shell e installare la famiglia di malware ShadowPad. Il gruppo fa affidamento sul caricamento laterale di DLL tramite binari firmati legittimi, esecuzione di payload basata su registro e più strumenti di tunneling per mantenere l’accesso nascosto di comando e controllo. Le vittime osservate includono ministeri governativi, appaltatori legati alla difesa ed entità di trasporto in diversi Paesi asiatici, nonché uno Stato membro della NATO. L’attività evidenzia il pericolo continuo posto dalle vecchie falle di Exchange quando abbinate a tecniche mature post-compromesso.
Indagine
I ricercatori hanno documentato la distribuzione di web shell utilizzando nomi di file come error.aspx and tunnel.ashx in comuni directory IIS, seguita dalla consegna di ShadowPad tramite carico laterale di DLL con eseguibili fidati come runtimebroker.exe. Hanno anche identificato ulteriori backdoor, inclusa mdync.exe, che comunicano con infrastrutture esterne, mentre gli strumenti di tunneling come GOST, Wstunnel e code.exe sono stati predisposti in C:UsersPublic. L’attività di furto di credenziali ha coinvolto Mimikatz e utilità personalizzate come Evil-CreateDump and newdcsync, eseguite tramite il processo di lavoro IIS. La persistenza è stata supportata tramite modifiche al registro come LocalAccountTokenFilterPolicy e attività pianificate, tra cui M1onltor.
Mitigazione
Le organizzazioni dovrebbero applicare tutti gli aggiornamenti di sicurezza disponibili per Microsoft Exchange Server e IIS, dando priorità ai CVE correlati a ProxyLogon. I firewall per applicazioni web o i controlli di prevenzione delle intrusioni dovrebbero essere configurati per bloccare i tentativi di sfruttamento prima dell’esecuzione. I difensori dovrebbero anche applicare il monitoraggio dell’integrità dei file sulle directory esposte al web e prevenire la creazione non autorizzata di .aspx, .ashx, o .jsp file. Ulteriori passi di rafforzamento includono la restrizione dei permessi del processo IIS, la riduzione dell’accesso in scrittura, il monitoraggio dei processi figli lanciati da w3wp.exe, la disabilitazione di servizi non utilizzati e l’applicazione della lista di autorizzazione delle applicazioni sui server critici.
Risposta
I team di sicurezza dovrebbero allertare sull’apparizione di .aspx or .ashx file sconosciuti all’interno dei percorsi di IIS e su attività pianificate con nome M1onltor. La copertura di rilevamento dovrebbe includere anche l’esecuzione di strumenti come Mimikatz e PowerView, nonché attività di caricamento laterale di DLL coinvolgendo binari firmati. La comunicazione in uscita verso gli indirizzi IP identificati come malevoli e il dominio check[.]office365-update[.]com dovrebbero essere bloccate immediatamente. Gli operatori che rispondono agli incidenti dovrebbero quindi eseguire una revisione forense dei valori sospetti sotto HKEY_CURRENT_USERSoftware e rimuovere eventuali attività pianificate non autorizzate o artefatti di persistenza.
"graph TB %% Class definitions section classDef technique fill:#99ccff classDef operator fill:#ff9900 %% Node definitions tech_exploit_pf["<b>Technique</b> – <b>T1190 Exploit Public-Facing Application</b><br/>Gli avversari sfruttano vulnerabilità in applicazioni esposte a Internet per ottenere l’accesso iniziale."] class tech_exploit_pf technique tech_webshell["<b>Technique</b> – <b>T1505.003 Server Software Component Web Shell</b><br/>Gli avversari installano una web shell su un server compromesso per mantenere un accesso persistente."] class tech_webshell technique tech_code_sign["<b>Technique</b> – <b>T1553.002 Subvert Trust Controls Code Signing</b><br/>Gli avversari caricano lateralmente DLL firmate per eseguire codice malevolo pur apparendo fidati."] class tech_code_sign technique tech_masquerade["<b>Technique</b> – <b>T1036 Masquerading</b><br/>Gli avversari rinominano utilità e le confezionano con strumenti come RingQ per apparire legittimi."] class tech_masquerade technique tech_cred_dump["<b>Technique</b> – <b>T1003 OS Credential Dumping</b><br/>Gli avversari ottengono credenziali dal sistema operativo utilizzando strumenti come Mimikatz, Evil CreateDump o DCSync."] class tech_cred_dump technique tech_account_manip["<b>Technique</b> – <b>T1098.002 Account Manipulation Email Delegate Permissions</b><br/>Gli avversari si aggiungono come delegati alle caselle di posta delle vittime per leggere e inviare email."] class tech_account_manip technique tech_exploit_remote["<b>Technique</b> – <b>T1210 Exploitation of Remote Services</b><br/>Gli avversari utilizzano WMIC o SMBExec per eseguire comandi su host remoti per movimento laterale."] class tech_exploit_remote technique tech_proxy["<b>Technique</b> – <b>T1090 Proxy</b><br/>Gli avversari impiegano strumenti proxy come GOST, Wstunnel o tunnel core per inoltrare il traffico attraverso più salti."] class tech_proxy technique tech_tunnel["<b>Technique</b> – <b>T1572 Protocol Tunneling</b><br/>Gli avversari canalizzano il traffico su protocolli SOCKS5 o HTTPS per comunicare con comando e controllo."] class tech_tunnel technique tech_email_collect["<b>Technique</b> – <b>T1114 Email Collection</b><br/>Gli avversari raccolgono dati email dai server Exchange utilizzando le API di Exchange Web Services."] class tech_email_collect technique tech_archive["<b>Technique</b> – <b>T1567.001 Archive Collected Data</b><br/>Gli avversari comprimono i dati rubati in un archivio RAR protetto da password per l’esfiltrazione."] class tech_archive technique %% Connections showing flow tech_exploit_pf –>|porta a| tech_webshell tech_webshell –>|usa| tech_code_sign tech_webshell –>|usa| tech_masquerade tech_webshell –>|abilita| tech_cred_dump tech_cred_dump –>|abilita| tech_account_manip tech_webshell –>|abilita| tech_exploit_remote tech_exploit_remote –>|facilita| tech_proxy tech_proxy –>|abilita| tech_tunnel tech_webshell –>|abilita| tech_email_collect tech_email_collect –>|porta a| tech_archive "
Flusso di Attacco
Rilevazioni
Possibile Sfruttamento di Server o WebApp [Windows] (via cmdline)
Visualizza
Possibile Enumerazione o Manipolazione di Account o Gruppi (via cmdline)
Visualizza
Esecuzione Sospetta da Profilo Utente Pubblico (via process_creation)
Visualizza
Possibili Argomenti di Mimikatz Rilevati (via cmdline)
Visualizza
Possibili Schemi di Caricamento DLL di Malware ShadowPad (via image_load)
Visualizza
Possibile Creazione di Webshell in Directory di Microsoft Exchange / Sharepoint (via file_event)
Visualizza
IOC (HashSha256) da rilevare: Ricerca aziendale APT & Attacchi mirati all’interno di Shadow-Earth-053: Una Campagna di Cyber Spionaggio allineata alla Cina contro i Settori Governativi e Difensivi in Asia
Visualizza
IOC (SourceIP) da rilevare: Ricerca aziendale APT & Attacchi mirati all’interno di Shadow-Earth-053: Una Campagna di Cyber Spionaggio allineata alla Cina contro i Settori Governativi e Difensivi in Asia
Visualizza
IOC (DestinationIP) da rilevare: Ricerca aziendale APT & Attacchi mirati all’interno di Shadow-Earth-053: Una Campagna di Cyber Spionaggio allineata alla Cina contro i Settori Governativi e Difensivi in Asia
Visualizza
Rilevazione di Strumenti di Tunneling Potenziale Staging in Directory Comuni [Evento File di Windows]
Visualizza
Rilevazione di Beaconing e Connessioni C&C nella Campagna SHADOW-EARTH-053 [Connessioni di Rete di Windows]
Visualizza
Rilevazione di Shadow-Earth-053 Sfruttando Vulnerabilità di Microsoft Exchange [Server web]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo Pre-volo della Telemetria e della Linea Base deve essere passato.
Razionale: Questa sezione dettaglia l’esatta esecuzione della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente le TTP identificate e mirare a generare la telemetria esatta attesa dalla logica di rilevamento.
-
Narrativa dell’Attacco e Comandi:
Un avversario ha ottenuto un binario tunneling personalizzato (ad esempio,tunnel.exe) sull’host compromesso. Per evitare il rilevamento durante il download iniziale, il binario viene messo in scena inC:ProgramData, una directory comunemente scrivibile dagli utenti standard e frequentemente utilizzata per installazioni legittime. Dopo lo staging, l’attaccante eseguirà successivamente lo strumento per stabilire un canale nascosto. Lo step di staging viene eseguito con PowerShellCopy-Item, producendo un evento di creazione file che corrisponde ai criteri di percorso della regola di rilevamento. -
Script per Test di Regressione:
# Simulazione dello staging dello strumento in una directory monitorata $stagingPath = "C:ProgramDatatunnel.exe" $payload = [IO.Path]::GetTempFileName() # Crea un binario fittizio (byte casuali) per imitare uno strumento reale $rand = New-Object byte[] 1024 (New-Object System.Random).NextBytes($rand) Set-Content -Path $payload -Value $rand -Encoding Byte -Force # Copia il binario fittizio nella posizione di staging Copy-Item -Path $payload -Destination $stagingPath -Force # Output per la verifica manuale Write-Host "Strumento di tunneling fittizio messo in scena a $stagingPath" -
Comandi di Pulizia:
# Rimuovi il file messo in scena e il payload temporaneo Remove-Item -Path "C:ProgramDatatunnel.exe" -Force -ErrorAction SilentlyContinue Remove-Item -Path $payload -Force -ErrorAction SilentlyContinue Write-Host "Pulizia completata."