Пошук бізнесу APT & Цільові атаки всередині Shadow-Earth-053: Китайська кіберрозвідка проти урядових і оборонних секторів в Азії
Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Група загроз, пов’язана з Китаєм, відстежується як SHADOW-EARTH-053, експлуатує невиправлені сервери Microsoft Exchange та IIS через вразливість ProxyLogon для розгортання веб-оболонок і встановлення сімейства шкідливого ПЗ ShadowPad. Група покладається на DLL-sideloading через законні підписані бінарні файли, виконання навантаження на основі реєстру і численні інструменти тунелінгу, щоб зберегти прихований командно-контрольний доступ. Серед постраждалих спостерігаються міністерства уряду, підрядники, пов’язані з обороною, та транспортні компанії у кількох азійських країнах, а також одна держава-член НАТО. Ця діяльність підкреслює постійну небезпеку, яку представляють старі вразливості Exchange у поєднанні з зрілим посткомпрометаційним ремеслом.
Розслідування
Дослідники задокументували розгортання веб-оболонок з використанням імен файлів, таких як error.aspx and tunnel.ashx у звичайних каталогах IIS, з подальшою доставкою ShadowPad через DLL-sideloading за допомогою доверених виконуваних файлів, таких як runtimebroker.exe. Вони також ідентифікували додаткові бекдори, включаючи mdync.exe, які спілкуються із зовнішньою інфраструктурою, тоді як тунельні інструменти, такі як GOST, Wstunnel, і code.exe були розгорнуті в C:UsersPublic. Викрадення облікових даних включало Mimikatz та користувацькі утиліти, такі як Evil-CreateDump and newdcsync, виконані через процес IIS worker. Стійкість підтримувалася змінами в реєстрі, такими як LocalAccountTokenFilterPolicy та запланованими завданнями, такими як M1onltor.
Запобіжні заходи
Організації повинні застосувати всі доступні оновлення безпеки для Microsoft Exchange Server та IIS, з пріоритетом на CVE, що пов’язані з ProxyLogon. Брандмауери веб-застосунків або системи запобігання вторгненням повинні бути налаштовані для блокування спроб експлуатації перед виконанням. Захисники також повинні забезпечити контроль цілісності файлів у веб-директоріях і запобігти несанкціонованому створенню .aspx, .ashx, або .jsp файлів. Додаткові заходи захисту включають обмеження дозволів процесів IIS, зменшення прав запису, моніторинг дочірніх процесів, запущених w3wp.exe, відключення невикористовуваних послуг та застосування білого списку додатків на критичних серверах.
Відповідь
Команди безпеки повинні сигналізувати про появу невідомих .aspx or .ashx файлів у шляхах IIS та запланованих завдань з назвою M1onltor. Покриття виявлення також повинно включати виконання інструментів, таких як Mimikatz і PowerView, а також діяльність DLL-sideloading з використанням підписаних бінарних файлів. Вихідні з’єднання з виявленими шкідливими IP-адресами і доменом check[.]office365-update[.]com мають бути заблоковані негайно. Респондери на інциденти повинні потім провести судові перевірки підозрілих значень під HKEY_CURRENT_USERSoftware і видалити будь-які несанкціоновані заплановані завдання або артефакти стійкості.
"graph TB %% Class definitions section classDef technique fill:#99ccff classDef operator fill:#ff9900 %% Node definitions tech_exploit_pf["<b>Technique</b> – <b>T1190 Exploit Public-Facing Application</b><br/>Adversaries exploit vulnerabilities in Internet facing applications to gain initial access."] class tech_exploit_pf technique tech_webshell["<b>Technique</b> – <b>T1505.003 Server Software Component Web Shell</b><br/>Adversaries install a web shell on a compromised server to maintain persistent access."] class tech_webshell technique tech_code_sign["<b>Technique</b> – <b>T1553.002 Subvert Trust Controls Code Signing</b><br/>Adversaries sideload signed DLLs to execute malicious code while appearing trusted."] class tech_code_sign technique tech_masquerade["<b>Technique</b> – <b>T1036 Masquerading</b><br/>Adversaries rename utilities and pack them with tools such as RingQ to look legitimate."] class tech_masquerade technique tech_cred_dump["<b>Technique</b> – <b>T1003 OS Credential Dumping</b><br/>Adversaries obtain credentials from the operating system using tools like Mimikatz, Evil CreateDump or DCSync."] class tech_cred_dump technique tech_account_manip["<b>Technique</b> – <b>T1098.002 Account Manipulation Email Delegate Permissions</b><br/>Adversaries add themselves as delegates to victim mailboxes to read and send email."] class tech_account_manip technique tech_exploit_remote["<b>Technique</b> – <b>T1210 Exploitation of Remote Services</b><br/>Adversaries use WMIC or SMBExec to run commands on remote hosts for lateral movement."] class tech_exploit_remote technique tech_proxy["<b>Technique</b> – <b>T1090 Proxy</b><br/>Adversaries employ proxy tools such as GOST, Wstunnel or tunnel core to relay traffic through multiple hops."] class tech_proxy technique tech_tunnel["<b>Technique</b> – <b>T1572 Protocol Tunneling</b><br/>Adversaries tunnel traffic over SOCKS5 or HTTPS protocols to communicate with command and control."] class tech_tunnel technique tech_email_collect["<b>Technique</b> – <b>T1114 Email Collection</b><br/>Adversaries harvest email data from Exchange servers using Exchange Web Services APIs."] class tech_email_collect technique tech_archive["<b>Technique</b> – <b>T1567.001 Archive Collected Data</b><br/>Adversaries compress stolen data into a password protected RAR archive for exfiltration."] class tech_archive technique %% Connections showing flow tech_exploit_pf –>|leads to| tech_webshell tech_webshell –>|uses| tech_code_sign tech_webshell –>|uses| tech_masquerade tech_webshell –>|enables| tech_cred_dump tech_cred_dump –>|enables| tech_account_manip tech_webshell –>|enables| tech_exploit_remote tech_exploit_remote –>|facilitates| tech_proxy tech_proxy –>|enables| tech_tunnel tech_webshell –>|enables| tech_email_collect tech_email_collect –>|leads to| tech_archive "
Хід атаки
Виявлення
Можлива експлуатація веб-сервера або веб-додатка [Windows] (через cmdline)
Перегляд
Можлива інвентаризація або маніпуляція з обліковими записами або групами (через cmdline)
Перегляд
Підозріла виконання з публічного профілю користувача (шляхом створення процесу)
Перегляд
Детектовано можливі аргументи Mimikatz (за допомогою cmdline)
Перегляд
Можливі шаблони завантаження DLL шкідливого ПЗ ShadowPad (через image_load)
Перегляд
Можливе створення веб-оболонки в каталогах Microsoft Exchange / Sharepoint (через file_event)
Перегляд
Індикатори компрометації (HashSha256) для виявлення: Пошук бізнес-рішення APT і цільових атак всередині Shadow-Earth-053: Кібер-шпигунська кампанія, пов’язана з Китаєм, проти уряду та оборонних секторів в Азії
Перегляд
Індикатори компрометації (SourceIP) для виявлення: Пошук бізнес-рішення APT і цільових атак всередині Shadow-Earth-053: Кібер-шпигунська кампанія, пов’язана з Китаєм, проти уряду та оборонних секторів в Азії
Перегляд
Індикатори компрометації (DestinationIP) для виявлення: Пошук бізнес-рішення APT і цільових атак всередині Shadow-Earth-053: Кібер-шпигунська кампанія, пов’язана з Китаєм, проти уряду та оборонних секторів в Азії
Перегляд
Виявлення потенційних інструментів тунелювання, що розгортаються у загальних каталогах [Windows File Event]
Перегляд
Виявлення маячення і C&C з’єднань у кампанії SHADOW-EARTH-053 [Windows Network Connection]
Перегляд
Виявлення експлуатації вразливостей Microsoft Exchange в Shadow-Earth-053 [Веб-сервер]
Перегляд
Виконання симуляції
Передумова: перевірка телеметрії та базового стану повинна бути пройдена.
Обґрунтування: Цей розділ деталізує точне виконання технік противника (TTP), призначених для активації правил виявлення. Команди та наратив мають безпосередньо відображати ідентифіковані TTP та прагнути генерувати саме ту телеметрію, яку очікує логіка виявлення.
-
Наратив атаки і команди:
Супротивник отримав бінарний файл для тунелювання (наприклад,tunnel.exe) на компрометованому хості. Щоб уникнути виявлення під час первісного завантаження, бінарний файл розгортається вC:ProgramData, де каталог часто доступний для запису стандартними користувачами та часто використовується для легітимних інсталяцій. Після розгортання, зловмисник пізніше виконає інструмент для встановлення прихованого каналу. Крок розгортання виконується за допомогою PowerShellCopy-Item, що створює подію створення файлу, яка відповідає критеріям шляху правила виявлення. -
Скрипт тесту регресії:
# Симуляція розгортання інструменту в моніторинговій папці $stagingPath = "C:ProgramDatatunnel.exe" $payload = [IO.Path]::GetTempFileName() # Створити підроблений бінарний файл (випадкові байти) для імітації реального інструменту $rand = New-Object byte[] 1024 (New-Object System.Random).NextBytes($rand) Set-Content -Path $payload -Value $rand -Encoding Byte -Force # Скопіювати підроблений бінарний файл у місце зберігання Copy-Item -Path $payload -Destination $stagingPath -Force # Вивід для ручної перевірки Write-Host "Розгорнуто підроблений інструмент тунелювання в $stagingPath" -
Команди для очищення:
# Видалити розгорнутий файл і тимчасовий