China-geführte Cyberattacke: SHADOW-EARTH-053 nutzt Börsen-Server zur Verbreitung von ShadowPad-Malware

Technischer Hintergrund

Die Gruppe kompromittierte erfolgreich Regierungsministerien, IT-Auftragnehmer im Verteidigungsbereich sowie Verkehrsbetriebe in mindestens acht Ländern. In einigen Fällen nutzte SHADOW-EARTH-053 seinen Zugriff auf den Exchange-Server des Opfers, um ein Snap-in für das Exchange-Management zu installieren.

Anschließend listete es hochwertige Postfächer auf und exportierte deren Inhalte mithilfe eines benutzerdefinierten ExchangeExport-Tools über die Exchange Web Services (EWS) API – eine Technik, die Microsoft bereits bei den Operationen (Hafnium) beobachtet hat.

ShadowPad Delivery und DLL Sideloading Die primäre Malware, die 053 eingesetzt wird, ist ShadowPad, ein fortgeschrittenes modulares Implant. Dieses wurde erstmals von APT41 seit 2017 verwendet und später ab 2019 unter mehreren China-nahen Intrusion Sets geteilt.

Technischer Hintergrund

Die weist die fortgeschrittenen Obfuskations- und Anti-Debugging-Funktionen nicht auf, die in Builds anderer Gruppen zu sehen sind. Dies deutet darauf hin, dass SHADOW-EARTH-053 nur Zugriff auf einen älteren Builder und nicht auf den Quellcode selbst hat.

Bei beobachteten Intrusionen nutzte die Gruppe durchgängig einen dreiteiligen Ladevorgang, um ShadowPad zu deployen.

Dieser Mechanismus besteht aus einer legitimen, signierten ausführbaren Datei, die anfällig für DLL Sideloading ist, einer bösartigen DLL, die die Nutzlast entweder dem Windows Registry lädt, und einer verschlüsselten ShadowPad-Nutzlast, die im Registry gespeichert und nach der ersten Verwendung gelöscht wird.

Technik und Auswirkungen

Die Gruppe nutzte dabei ausführbare Dateien, die Electronics und Mainline Net Holdings signiert wurden, um die Sideloading-Aktivität zu verschleiern.

Ein zentraler Loader, der in dieser Kampagne zum Einsatz kam, verwendete eine legitime Toshiba Bluetooth Stack ausführbare Datei, die in CIATosBtKbd.exe umbenannt wurde, um eine bösartige DLL namens TosBtKbd.dll zu sideloaden. Dieser Loader ruft seine Nutzlast nicht aus dem Binärfile, sondern aus dem Windows Registry ab.

Dafür wird GetComputerNameA aufgerufen, um den Host zu identifizieren, und es wird auf einen maschinenspezifischen Registry-Schlüssel unter Ht HKEY_CURRENT_USER\Software zugegriffen.

Sicherheitslage und Risiko

Organisationen, die internetzugängliche Microsoft Exchange- oder IIS-Infrastrukturen betreiben, sollten basierend auf den Forschungsergebnissen folgende Schritte unternehmen: * Die neuesten Sicherheitsupdates und kumulativen Patches für Microsoft Exchange und alle auf IIS gehosteten Webanwendungen umgehend anwenden.

Wenn ein sofortiges Patchen nicht möglich ist, sollten Intrusion Prevention Systems (IPS) oder Web Application Firewalls (WAF) mit Regelsets eingesetzt werden, die darauf abgestimmt sind, Exploit-Versuche gegen bekannte CVEs zu blockieren.

Implementieren Sie ein striktes File Integrity Monitoring (FIM) für kritische Webverzeichnisse wie C:\inetpub\wwwroot und die Exchange Client Access Pfade. Konfigurieren Sie hierfür Alarme bei der Erstellung oder Modifikation ausführbarer serverseitiger Skripte (.aspx,.ashx,.jsp).

Sicherheitslage und Risiko

Stellen Sie sicher, dass der IIS-Worker-Prozess (w3wp.exe) mit den niedrigstmöglichen Berechtigungen läuft und weder Administratorrechte noch die Möglichkeit zum Schreiben in beliebige Verzeichnisse besitzt. Entfernen Sie unnötige IIS-Module und Handler, die für den Geschäftsbetrieb nicht erforderlich sind, um die Angriffsfläche zu reduzieren.

Erzwingen Sie Richtlinien zur Application Whitelisting, die verhindern, dass der IIS-Prozess nicht autorisierte Binärdateien oder Skriptinterpreter startet.

Richten Sie Alarme ein, wenn der IIS-Worker-Prozess Befehls-Shells (cmd.exe, powershell.exe) oder Aufklärungswerkzeuge (whoami.exe, net.exe) startet, da dies ein Indikator hoher Treffsicherheit für Remote Code Execution ist.

Überwachen Sie unerwartete ausgehende Verbindungen, die vom Webserver initiiert werden, da dies auf eine Command-and-Control (C2)-Kommunikation hindeuten kann. Überwachen und beschränken Sie den Zugriff auf Verzeichnisse, die häufig als Staging Grounds genutzt werden, darunter C:\ProgramData, C:\Users\Public, C:\PerfLogs und C:\Windows\Temp. Sie uns auf