Pesquisa de Negócios APT & Ataques Direcionados Dentro do Shadow-Earth-053: Uma Campanha de Ciberespionagem Alinhada à China Contra os Setores Governamental e de Defesa na Ásia
Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Um grupo de ameaça alinhado com a China, rastreado como SHADOW-EARTH-053, tem explorado servidores Microsoft Exchange e IIS não corrigidos por meio da cadeia de vulnerabilidades ProxyLogon para implantar web shells e instalar a família de malware ShadowPad. O grupo se baseia em carregamento lateral de DLLs por meio de binários assinados legítimos, execução de payload baseada em registro e múltiplas ferramentas de tunelamento para manter o acesso de comando e controle ocultos. As vítimas observadas incluem ministérios governamentais, contratantes vinculados à defesa e entidades de transporte em vários países asiáticos, bem como um membro da OTAN. A atividade destaca o perigo contínuo representado por falhas antigas do Exchange quando emparelhadas com técnicas maduras de pós-comprometimento.
Investigação
Pesquisadores documentaram a implantação de web shells usando nomes de arquivos como error.aspx and tunnel.ashx em diretórios comuns do IIS, seguida pela entrega do ShadowPad através de carregamento lateral de DLL com executáveis confiáveis como runtimebroker.exe. Eles também identificaram backdoors adicionais, incluindo mdync.exe, comunicando-se com infraestrutura externa, enquanto ferramentas de tunelamento como GOST, Wstunnel e code.exe foram estagiadas em C:UsersPublic. Atividade de roubo de credenciais envolveu Mimikatz e utilitários personalizados como Evil-CreateDump and newdcsync, executados via o processo do trabalhador IIS. A persistência foi suportada por alterações no registro como LocalAccountTokenFilterPolicy e tarefas agendadas incluindo M1onltor.
Mitigação
As organizações devem aplicar todas as atualizações de segurança disponíveis para Microsoft Exchange Server e IIS, dando prioridade às CVEs relacionadas ao ProxyLogon. Firewalls de aplicações web ou controles de prevenção de intrusão devem ser configurados para bloquear tentativas de exploração antes da execução. Defensores também devem implementar monitoramento de integridade de arquivos em diretórios voltados para a web e evitar a criação não autorizada de .aspx, .ashx, ou .jsp arquivos. Passos adicionais de fortalecimento incluem restringir as permissões do processo IIS, reduzir o acesso de escrita, monitorar processos filho lançados por w3wp.exe, desativar serviços não utilizados e aplicar lista de permissões de aplicação em servidores críticos.
Resposta
Equipes de segurança devem alertar sobre o aparecimento de .aspx or .ashx arquivos desconhecidos nas rotas do IIS e em tarefas agendadas nomeadas M1onltor. A cobertura de detecção também deve incluir a execução de ferramentas como Mimikatz e PowerView, bem como atividades de carregamento lateral de DLLs envolvendo binários assinados. A comunicação de saída para os endereços IP maliciosos identificados e o domínio check[.]office365-update[.]com deve ser bloqueada imediatamente. Os respondedores de incidentes devem então realizar revisões forenses de valores suspeitos em HKEY_CURRENT_USERSoftware e remover quaisquer tarefas agendadas não autorizadas ou artefatos de persistência.
"graph TB %% Class definitions section classDef technique fill:#99ccff classDef operator fill:#ff9900 %% Node definitions tech_exploit_pf["<b>Technique</b> – <b>T1190 Explorar Aplicação Voltada para o Público</b><br/>Os adversários exploram vulnerabilidades em aplicações voltadas para a Internet para obter acesso inicial."] class tech_exploit_pf technique tech_webshell["<b>Technique</b> – <b>T1505.003 Componente de Software de Servidor Web Shell</b><br/>Os adversários instalam um web shell em um servidor comprometido para manter acesso persistente."] class tech_webshell technique tech_code_sign["<b>Technique</b> – <b>T1553.002 Subverter Controles de Confiança Assinatura de Código</b><br/>Os adversários carregam lateralmente DLLs assinadas para executar código malicioso enquanto aparentam ser confiáveis."] class tech_code_sign technique tech_masquerade["<b>Technique</b> – <b>T1036 Mascaramento</b><br/>Os adversários renomeiam utilitários e os empacotam com ferramentas como RingQ para parecerem legítimos."] class tech_masquerade technique tech_cred_dump["<b>Technique</b> – <b>T1003 Despejo de Credenciais do SO</b><br/>Os adversários obtêm credenciais do sistema operacional usando ferramentas como Mimikatz, Evil CreateDump ou DCSync."] class tech_cred_dump technique tech_account_manip["<b>Technique</b> – <b>T1098.002 Manipulação de Conta Permissões de Delegado de Email</b><br/>Os adversários se adicionam como delegados a caixas de correio da vítima para ler e enviar emails."] class tech_account_manip technique tech_exploit_remote["<b>Technique</b> – <b>T1210 Exploração de Serviços Remotos</b><br/>Os adversários usam WMIC ou SMBExec para executar comandos em hosts remotos para movimento lateral."] class tech_exploit_remote technique tech_proxy["<b>Technique</b> – <b>T1090 Proxy</b><br/>Os adversários empregam ferramentas de proxy como GOST, Wstunnel ou core de túnel para retransmitir tráfego através de múltiplos saltos."] class tech_proxy technique tech_tunnel["<b>Technique</b> – <b>T1572 Tunelamento de Protocolo</b><br/>Os adversários tunelam tráfego sobre protocolos SOCKS5 ou HTTPS para comunicar-se com comando e controle."] class tech_tunnel technique tech_email_collect["<b>Technique</b> – <b>T1114 Coleta de Email</b><br/>Os adversários colhem dados de email de servidores Exchange usando APIs de Serviços Web do Exchange."] class tech_email_collect technique tech_archive["<b>Technique</b> – <b>T1567.001 Arquivar Dados Coletados</b><br/>Os adversários comprimem dados roubados em um arquivo RAR protegido por senha para exfiltração."] class tech_archive technique %% Connections showing flow tech_exploit_pf –>|leva a| tech_webshell tech_webshell –>|usa| tech_code_sign tech_webshell –>|usa| tech_masquerade tech_webshell –>|habilita| tech_cred_dump tech_cred_dump –>|habilita| tech_account_manip tech_webshell –>|habilita| tech_exploit_remote tech_exploit_remote –>|facilita| tech_proxy tech_proxy –>|habilita| tech_tunnel tech_webshell –>|habilita| tech_email_collect tech_email_collect –>|leva a| tech_archive "
Fluxo de Ataque
Detecções
Possível Exploração de Servidor Web ou WebApp [Windows] (via linha de comando)
Ver
Possível Enumeração ou Manipulação de Conta ou Grupo (via linha de comando)
Ver
Execução Suspeita do Perfil de Usuário Público (via criação de processo)
Ver
Possíveis Argumentos do Mimikatz Detectados (via linha de comando)
Ver
Possíveis Padrões de Carregamento de DLL de Malware ShadowPad (via carregamento de imagem)
Ver
Possível Criação de Webshell em Diretórios do Microsoft Exchange / Sharepoint (via evento de arquivo)
Ver
IOCs (HashSha256) para detectar: Pesquisa de negócios APT & Ataques Alvo Dentro do Shadow-Earth-053: Uma Campanha de Ciberespionagem Alinhada à China Contra Setores Governamentais e de Defesa na Ásia
Ver
IOCs (SourceIP) para detectar: Pesquisa de negócios APT & Ataques Alvo Dentro do Shadow-Earth-053: Uma Campanha de Ciberespionagem Alinhada à China Contra Setores Governamentais e de Defesa na Ásia
Ver
IOCs (DestinationIP) para detectar: Pesquisa de negócios APT & Ataques Alvo Dentro do Shadow-Earth-053: Uma Campanha de Ciberespionagem Alinhada à China Contra Setores Governamentais e de Defesa na Ásia
Ver
Detecção de Ferramentas de Tunelamento Potencial Estagiando em Diretórios Comuns [Evento de Arquivo do Windows]
Ver
Detecção de Beaconing e Conexões de C&C na Campanha SHADOW-EARTH-053 [Conexão de Rede do Windows]
Ver
Detecção de Exploração de Vulnerabilidades do Microsoft Exchange por Shadow-Earth-053 [Servidor Web]
Ver
Execução de Simulação
Pré-requisito: O Check Pré-voo de Telemetria e Base deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica de adversário (TTP) projetada para acionar a regra de detecção. Os comandos e narrativa DEVEM refletir diretamente os TTPs identificados e ter como objetivo gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa do Ataque & Comandos:
Um adversário obteve um binário de tunelamento personalizado (por exemplo,tunnel.exe) no host comprometido. Para evitar detecção durante o download inicial, o binário é estagiado emC:ProgramData, um diretório comumente gravável por usuários padrão e frequentemente usado para instalações legítimas. Após o estágio, o atacante executará a ferramenta para estabelecer um canal oculto. O passo de estágio é realizado com o PowerShell’sCopy-Item, produzindo um evento de criação de arquivo que corresponde aos critérios de caminho da regra de detecção. -
Script de Teste de Regressão:
# Simulação de ferramenta estagiando em um diretório monitorado $stagingPath = "C:ProgramDatatunnel.exe" $payload = [IO.Path]::GetTempFileName() # Criar um binário fictício (bytes aleatórios) para imitar uma ferramenta real $rand = New-Object byte[] 1024 (New-Object System.Random).NextBytes($rand) Set-Content -Path $payload -Value $rand -Encoding Byte -Force # Copiar o binário fictício para o local de estágio Copy-Item -Path $payload -Destination $stagingPath -Force # Saída para verificação manual Write-Host "Ferramenta de tunelamento fictícia estagiada em $stagingPath" -
Comandos de Limpeza:
# Remova o arquivo estagiado e a carga útil temporária Remova-Item -Path "C:ProgramDatatunnel.exe" -Force -ErrorAction SilentlyContinue Remova-Item -Path $payload -Force -ErrorAction SilentlyContinue Write-Host "Limpeza concluída."