Компания Palo Alto сообщила о выявлении кластера активности, известного под наименованием CL-STA-0048, который был использован для целенаправленных атак на высокоценные цели в Южной Азии, включая телекоммуникационную организацию.
Описание
В ходе этой активности злоумышленники применяли редкие инструменты и техники, включая метод Hex Staging, а также эксфильтрацию через DNS с помощью ping и злоупотребление SQLcmd для кражи данных.
Основываясь на анализе тактики, техники и процедур, используемых инструментов, инфраструктуры и виктимологии, Palo Alto с умеренно-высокой степенью уверенности заключила, что эта активность исходит из Китая. Целью атаки было получение личной информации государственных служащих и конфиденциальных данных от целевых организаций, что указывает на признаки шпионажа с использованием передовых постоянных угроз (APT).
Злоумышленники продемонстрировали методичный подход к проникновению в сеть, использовав систематические попытки эксплуатации известных уязвимостей на общедоступных серверах, включая IIS, Apache Tomcat и MSSQL. Организации, защищающие конфиденциальную информацию, рекомендуется сосредоточиться на исправлении часто используемых уязвимостей и соблюдении лучших практик ИТ-гигиены, так как APT часто опираются на методы, уже доказавшие свою эффективность.
Palo Alto Networks делится результатами своего анализа, чтобы обеспечить защитникам средства обнаружения и защиты от таких продвинутых атак. Клиенты Palo Alto Networks, использующие Cortex XDR и XSIAM, более надежно защищены от угроз, упомянутых в данной статье. Кроме того, клиенты также могут получить дополнительную защиту от облачных служб безопасности нового поколения, таких как Advanced WildFire, Advanced URL Filtering и Advanced DNS Security, а также использовать возможности Cortex Xpanse для обнаружения потенциальных точек входа противника.
Расследование показало, что злоумышленники использовали три критически важных сервиса: IIS, Apache Tomcat и службы MSSQL. Сначала атакующие пытались использовать уязвимости на серверах IIS, затем перешли на сервер Apache после неудачи и, наконец, смогли скомпрометировать сервер MSSQL. Злоумышленники использовали различные методы эксплуатации и эксфильтрации данных, включая использование PowerShell для загрузки скриптов и отправку данных через DNS-запросы с использованием ping.
Indicators of Compromise
IPv4
- 107.174.39.125
- 154.201.68.57
- 18.183.94.114
- 192.227.180.124
- 206.237.0.49
- 38.54.30.117
- 38.54.56.88
- 43.247.135.106
- 52.77.234.115
- 65.20.69.103
Domains
- h5.nasa6.com
- mail.tttseo.com
- sentinelones.com
- test.nulq5r.ceye.io
- web.nginxui.cc
SHA256
- 0f85b67f0c4ca0e7a80df8567265b3fa9f44f2ad6ae09a7c9b7fac2ca24e62a8
- 336892ff8f07e34d18344f4245406e001f1faa779b3f10fd143108d6f30ebb8a
- 3503d6ccb9f49e1b1cb83844d1b05ae3cf7621dfec8dc115a40abb9ec61b00bb
- 35da93d03485b07a8387e46d1ce683a81ae040e6de5bb1a411feb6492a0f8435
- 508d6dd6c45027e3cda3d93364980f32ffc34c684a424c769954d741cf0d40d0
- 525540eac2d90c94dd3352c7dd624720ff2119082807e2670785aed77746301d
- 8dfc107662f22cff20d19e0aba76fcd181657255078a78fb1be3d3a54d0c3d46
- a09179dec5788a7eee0571f2409e23df57a63c1c62e4b33f2af068351e5d9e2d
- af0baf0a9142973a3b2a6c8813a3b4096e516188a48f7fd26ecc8299bce508e1
- c5af6fd69b75507c1ea339940705eaf61deadd9c3573d2dec5324c61e77e6098
- edc9222aece9098ad636af351dd896ffee3360e487fda658062a9722edf02185
