Работает даже при белом списке
Image

MAX. SecurityLab. Белый список. Ваш сисадмин ничего не запретит — и это его будет бесить

Мы пишем про взломы, утечки и катастрофы — и делаем это лучше всех. Скромно, но это правда. Проверьте сами, вам несложно.

Секреты в RAR-архиве и дырявый Exchange. Шпионы годами грабят оборонку и госсектор, используя старые бреши Microsoft

leer en español

30452
SHADOW-EARTH-053 SHADOW-EARTH-054 Microsoft Exchange TrendAI Research ShadowPad Китай кибершпионаж
Секреты в RAR-архиве и дырявый Exchange. Шпионы годами грабят оборонку и госсектор, используя старые бреши Microsoft
SHADOW-EARTH-053 SHADOW-EARTH-054 Microsoft Exchange TrendAI Research ShadowPad Китай кибершпионаж

Заметка для тех, кто верит, что «забытый» сервер никому не нужен.

image

Спустя годы после раскрытия уязвимостей Microsoft Exchange старые серверы всё ещё остаются удобной дверью для кибершпионажа. Новая вредоносная кампания, связанная с интересами Китая, показала, что даже давно закрытые ошибки продолжают помогать злоумышленникам проникать в сети госструктур, оборонных подрядчиков и объектов критической инфраструктуры.

Специалисты TrendAI Research описали активность группы, которую временно отслеживают как SHADOW-EARTH-053. По данным команды, атаки начались как минимум в декабре 2024 года и затронули организации в Южной, Восточной и Юго-Восточной Азии, а также одну страну НАТО. Среди целей названы Пакистан, Таиланд, Малайзия, Индия, Мьянма, Шри-Ланка, Тайвань и Польша.

Злоумышленники использовали незакрытые уязвимости в Microsoft Exchange и Internet Information Services. Среди применявшихся цепочек упоминается ProxyLogon, связанная с CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065. После взлома серверов группа закреплялась через веб-шеллы, включая GODZILLA, а затем разворачивала вредоносную платформу ShadowPad.

В атаках применялась загрузка через подмену DLL у легитимных подписанных файлов. В отдельных случаях специалисты зафиксировали использование переименованного компонента Toshiba Bluetooth Stack, который извлекал полезную нагрузку из реестра Windows. Для сохранения доступа создавалось задание с запуском каждые пять минут и повышенными привилегиями.

После проникновения операторы SHADOW-EARTH-053 изучали Active Directory и Exchange, искали администраторов домена, контроллеры домена и внутренние почтовые серверы. Для сбора учётных данных использовались Mimikatz, Evil-CreateDump и инструмент, похожий на средство для DCSync-атак. В одном случае злоумышленники создали защищённый паролем RAR-архив с почтовым PST-файлом руководителя атакованной компании.

Для скрытой связи и перемещения внутри сетей группа разворачивала IOX, GOST, Wstunnel и другие туннельные инструменты. Часть файлов размещалась в C:/Users/Public и C:/ProgramData, а системные утилиты Windows маскировались под случайные файлы с расширением.log, чтобы обходить защиту, ориентированную на имена процессов.

TrendAI Research также нашла пересечения с другой временной группой, SHADOW-EARTH-054. Почти половина целей SHADOW-EARTH-053 ранее сталкивалась с активностью SHADOW-EARTH-054, причём группы применяли одни и те же точки входа и часть одинаковых инструментов. Авторы отчёта считают более вероятным не единое управление, а независимное использование одних и тех же уязвимостей в уже уязвимых средах.

Характер целей указывает на кибершпионаж и кражу ценной информации. Особый риск сохраняется для организаций с доступными из интернета Exchange и IIS, где давно не ставились обновления безопасности. Кампания показывает, что забытые серверы могут месяцами оставаться рабочей опорой для атак на государственные и оборонные структуры.