Новая киберкампания SHADOW-EARTH-053 атакует правительства Азии через старые уязвимости Microsoft Exchange

Основным вектором проникновения стали давно известные, но всё ещё не закрытые уязвимости в публично доступных серверах Microsoft Exchange и Internet Information Services (IIS). Речь идёт о цепочке ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065), исправления для которой вышли ещё в 2021 году. Тем не менее злоумышленники продолжают успешно эксплуатировать эти бреши в организациях, которые не установили обновления. После компрометации сервера они устанавливают веб-шеллы - вредоносные скрипты, позволяющие удалённо выполнять команды. В ходе кампании активно используется веб-шелл GODZILLA, а также несколько десятков типовых имён файлов, например error.aspx, signout.aspx, tunnel.ashx и другие. Эти файлы обычно размещаются в каталогах inetpub\wwwroot\aspnet_client\system_web или в папках Exchange.

Получив доступ, группа проводит разведку внутри сети. В одном из случаев злоумышленники через веб-шелл выполняли команды для перечисления групп администраторов домена, обнаружения контроллеров домена с помощью утилиты nltest, а также делали целевые DNS-запросы к внутренним серверам Exchange. Для сбора информации об объектах Active Directory применялась легитимная утилита csvde.exe. Кроме того, наблюдалось использование самодельной программы DomainMachines.exe, которая перебирала машины в домене через LDAP и проверяла открытые порты (SMB, RDP, веб-серверы, базы данных и Kerberos). Это позволяет предположить, что атакующие искали пути для горизонтального перемещения.

Основным вредоносным инструментом в арсенале SHADOW-EARTH-053 является ShadowPad - продвинутое модульное программное обеспечение, которое с 2017 года применялось группой APT41, а затем распространилось среди нескольких китайских кластеров. Используемая версия лишена сложных методов обфускации и антиотладки, что указывает на доступ к старой сборке, а не к исходному коду. Загрузка ShadowPad осуществляется через подгрузку вредоносной DLL-библиотеки легитимным подписанным исполняемым файлом. В разных инцидентах злоумышленники использовали четыре уязвимых к такой подгрузке программы, в том числе GameHook.exe, imecmnt.exe, xReport.exe и LUManager.EXE. Например, файл, подписанный Microsoft, переименовывался в RuntimeBroker.exe и загружал библиотеку imjp14k.dll, которая затем извлекала из реестра зашифрованную полезную нагрузку. Для закрепления в системе создавалась задача планировщика M1onltor, запускающая вредоносный бинарник каждые пять минут.

Помимо ShadowPad, в атаках применялись туннельные инструменты с открытым исходным кодом: GOST (GO Simple Tunnel) и Wstunnel. Они использовались для организации зашифрованных каналов связи с внешними командными серверами. В одном случае было развёрнуто несколько туннелеров одновременно, что обеспечивает отказоустойчивость. Все вспомогательные файлы размещались в каталоге C:\Users\Public, который часто используется для временного хранения. Кроме того, группа использовала прокси-утилиту IOX для создания локальных учётных записей и настройки параметров LocalAccountTokenFilterPolicy, что давало полные права администратора при удалённом подключении - упрощая кражу хэшей и вертикальное перемещение.

Для сбора учётных данных применялась модифицированная версия утилиты create-dump от Microsoft, переименованная в Evil-CreateDump и нацеленная на дамп процесса LSASS. Также напрямую через веб-шелл запускался Mimikatz - через rundll32.exe с командами sekurlsa::logonpasswords и lsadump::sam. В одном инциденте был обнаружен бинарник newdcsync, предназначенный для проведения DCSync-атак (захват паролей из контроллера домена). Для горизонтального перемещения использовались WMIC, подозрительный самодельный лаунчер RDP под именем smss.exe и реализация SMBExec на C#.

Шифрование и выгрузка данных производилась с помощью архиватора RAR с паролем. В одном случае был создан защищённый архив, содержащий почтовый ящик (PST-файл) одного из руководителей целевой компании. Для доступа к почтовым данным злоумышленники устанавливали оснастку управления Exchange и применяли кастомный инструмент ExchangeExport, работающий через API Exchange Web Services.

Согласно отчёту TrendAI, география целей обширна: Пакистан, Таиланд, Малайзия, Индия, Мьянма, Шри-Ланка, Тайвань и Польша. Почти в половине атакованных сетей присутствовали следы ещё одной группировки, обозначенной как SHADOW-EARTH-054. Она использовала те же уязвимости и тот же набор инструментов после взлома - включая Evil-CreateDump и IOX с идентичными хэшами файлов. При этом атаки SHADOW-EARTH-054 часто предшествовали развёртыванию ShadowPad на несколько месяцев. Исследователи полагают, что это независимая эксплуатация одних и тех же брешей разными командами, а не координация между ними. В трёх случаях после компрометации SHADOW-EARTH-054 и последующей установки ShadowPad группой SHADOW-EARTH-053, через некоторое время SHADOW-EARTH-054 снова проникала в ту же сеть, что подтверждает версию об автономной работе.

Цели кампании - кибершпионаж и кража интеллектуальной собственности. Помимо правительств, атакованы технологические компании, имеющие контракты с министерствами обороны, а также отдельные предприятия транспортной отрасли. Учитывая, что один из инцидентов затронул страну НАТО, можно предположить расширение операционного охвата.

Несмотря на возраст уязвимостей ProxyLogon, они продолжают оставаться эффективным вектором начального доступа. Кампания SHADOW-EARTH-053 - яркое напоминание о том, что отсутствие своевременного обновления критических серверов приводит к длительному и скрытому присутствию злоумышленников. Организациям, особенно в указанных регионах, следует в первую очередь провести аудит установленных обновлений на серверах Exchange и IIS, а также настроить мониторинг появления подозрительных веб-скриптов в каталогах веб-серверов. Дополнительное внимание стоит уделить контролю за процессами w3wp.exe - любая попытка запуска командной оболочки или инструментов разведки из этого процесса должна расцениваться как серьёзный индикатор компрометации. Также следует ограничить права записи в общедоступные каталоги и внедрить систему обнаружения аномального сетевого трафика от веб-серверов. Комплекс этих мер позволит существенно снизить риск повторения подобных атак.

IPv4

• 141.164.46.77
• 194.38.11.3
• 209.141.40.254
• 45.61.62.172
• 96.9.125.227

Domains

• cert.kaspersky.icu
• check.dnsmaps.com
• check.office365-update.com
• dns.dnserver.life
• dns.dnsmap.icu
• erp.kaspersky.icu
• microsi0ft.com
• news.kaspersky.icu
• ns1.group-ib.icu
• ns1.kaspersky.icu
• ns2.group-ib.icu
• ns2.kaspersky.icu
• nslookup.dnserver.life
• router.dnserver.life
• time.microsofttrends.com
• update.kaspersky.icu
• ww12.dnserver.life
• www.group-ib.icu
• www.kaspersky.icu
• zimbra.life
• zimbra-beta.info

SHA1

• 128f3ad395f86be6569ef2a957d42902a910de6c
• 211e1fc502152ea272edb5a81a5b4405a28c48f9
• 2dc1ad07b7529af3ba5c11a58519681909971a81
• 2dd614427b80cdd38e8bbe0ace24a484671c0da2
• 31b3dd9ee46805b0ed6e6dd6a5ee17facadfd2ff
• 3229ba46dd54802093c81e6e2123fd1520faf960
• 35cc0b684b0906aed9d672a1a8635510fe91aa67
• 36061be6ccd17e87e3d1ef15f8e7058f279439d1
• 3f858c007d4d49dd7fa260bcc786c34d4f78dbf5
• 4541e55b70ca12ae4a79e38c0b4c31f067eb5cdc
• 579bc9a640ac939b1f75eda852815f063cebd332
• 824f13f758ce278f72a4aeaf1e15a703d5107dd7
• 861a686461ad830b268977808ba56730616c7684
• 8a5ac2682d70eacff7eb554e242227c82e2baa94
• 9244cd99a27a8741a78e0b449cea063fdcfb0090
• 95015643ecb3ba321b8cff8eca2907e5356e8659
• 9a83466f6c34e588ba3e99d6cbfac0102e173cdd
• ac7ffce58c70fb9f837e11a44d655d6c28e276f5
• b8d586d376b342b08b3dd8a77c788480e025ad12
• e1bcf36ed2f7a60dd0dde52abf11c942e2657e31
• ebfd92291714e6d7e57cf4830aa8f87950b796bb
• ec38a56f9368eac67106a4ad61538e12053f03d1

SHA256

• 03a89ea5a8604e8bc09a4249211e20404a2c7047adda65a57deeb46abb1fb116
• 0c63857269205f6505c259a56ea53b23b2bf7432aabb8647d59b321232ca7e36
• 0c8c562ed7343d28c76d93a88bd0534440d0e71292ebcee66314d6d5c2f34403
• 0eb72c1f1605d999488d903021d82a9ff4b937e6c1a1da50c55440f018e83ad9
• 0eda83335334d3c877578326a5843d3e2a3b745834de27eac00b694262e2b1ed
• 0fff684fa209cb79ab1104da3cfbbf4c950078e14e54c2564d130abbd4e464a9
• 165cc3a9a40e04c469e5c818943920f38dc48db2c2365f1a71bb52c9582f0ea9
• 188c72b101cd8ad96ef971e8943bddb3acd9dc45fe1d8719217d171e600a29aa
• 1a5da90175ff7b55ddafcdb816adf574b92a112604019b219d82adab820fb3a2
• 23c2ebc8f9bac96b2fbbb9b00b457c48d65a9f66ec24fbfba339eeefd0539ad7
• 26f4c7f37448911310adf20e6e74aac60e92b97591f4ac9e5e21cc503be8da16
• 2dd93edc8cc64747a7ca94b6827dc4e5b1e385d493ed4450272dd1dfc52a6255
• 3dffbfcb825a70e477474e88b18679557ef467de37fc26e45ddbe572f520c52a
• 3f6382418d0137f6ecbef23bfd981938bb86a935b27203f5b053e3710e835f97
• 4173c218efe31a6b36df714cf4e1073696f3acbe7edd1b7fcba01e4a2d923a27
• 41f74c3fc32752b5c7b88e7a5723441cb827958bc21b647fffae469407f1ce99
• 4f77b4fcfde7abb7e6d0e36104e433abfed3a9d9938bf7fbe0e9d1a0b2ccf265
• 55e929971a7975c7f9dfa4d677d5ec357af23a4ca208ef8f920804743e9011cd
• 5bf35daaf26508fc136157818ead48cc5c7fa3a3e6273cde2c757673586a78a6
• 5eb2122c4c645543966b07b94faccb5b4697561163382f21fb3b793b0d5cc9fe
• 75d0d5080afd091114818d082babc418ccb43d545d9fda1fb715af6c129b6e51
• 83e9f99a377566cf30df0ad71ca8522613b14d45e3e2eaead4a336509d26bef3
• 884601e54fc2e6833167d33436b68e952020cdb99507b2807feec1bc086027c2
• 8df8282da75ebe6cf1a535739991e3f298f903974a05966503d7fd2919ecea4e
• 97ea803792929f802388e9d0e75a3c79c28260d589bc2d87902c73c729ed6f9e
• 996fb4f7d1b3150490380c4ce9c7c3d60fac33bd6a7c1e3a46487021964cf3bb
• 9dda789b85fce6294f91a79b7271a93de36dfcef21fc680dc2bf4235141e47df
• a5477ff2b3d6d475558abf03878dff0cca98c20c17aae35a8ad8e99e03293f89
• a65483b86847995a67de0fcb2a5487cdbc96361cb2e9dea8ab74005c8fef65ce
• b8a2a9ca58fb2b383a52f8be75cae44f08f2c3f8907bd8661ee8a4a78fd7dda3
• c935ded2729f0513672e261170d73d4e0e13a9b837f104d840c44a39b84c0d71
• d083b6d82765faffe738ebd0678c8eb01c1f1fac8d3c51ffdfe40e34da3ce902
• e12c2682a7949661fa99bf46723a1405c658d109411de3bf6cb04c57337cc020
• eff699456ed4c5938d53afdb8df0836d7cb953ed933ed1a2899ec43f6f9e540b
• f19a67b9c8805b335676f0fc17495839327f8135f791aa11d5d9adba2c83cc1c
• f43748a809680a23272ec684a8cce9af071ad165c3b01acdcd7fe501a0949745