SHADOW-EARTH-053 атакует Exchange, IIS и критическую инфраструктуру
Campaign SHADOW-EARTH-053 связана с threat actor, лояльным China, и, по данным отчета, была нацелена на government agencies, defense contractors и organizations критической инфраструктуры в нескольких странах Asia-Pacific region. Основной упор злоумышленники делали на exploitation unpatched vulnerabilities в Microsoft Exchange и IIS, используя их для initial access, persistence и дальнейшего espionage.
Как работала атака
В центре операции находилась exploitation chain ProxyLogon, включающая уязвимости CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065. Используя устаревшие версии Microsoft Exchange, attackers получали доступ к системам, а затем закреплялись в инфраструктуре жертв.
После initial compromise злоумышленники развернули ShadowPad, применяя techniques, направленные на обход detection. В частности, использовались:
- DLL sideloading;
- legitimate signed executables для запуска malicious payload;
- web shells GODZILLA для сохранения контроля над скомпрометированными системами.
Кража учетных записей и внутренняя разведка
Помимо exploitation vulnerabilities, операторы SHADOW-EARTH-053 активно занимались credential theft. Для этого применялись известные tools Mimikatz и Evil-CreateDump, которые нередко запускались через IIS worker processes. Такой подход напрямую связывал web shell activity с попытками сбора учетных данных.
Далее attackers проводили extensive internal reconnaissance: картировали network infrastructure, изучали внутренние сервисы и извлекали sensitive information. Особое внимание уделялось email correspondence high-ranking employees. Для этого использовались techniques, основанные на extraction данных mailbox с помощью modified Exchange APIs.
Persistence и скрытая связь
Для обеспечения устойчивого доступа и скрытой коммуникации campaign использовала несколько tunneling frameworks, включая IOX Proxy и GOST. Такая архитектура обеспечивала operational redundancy и позволяла сохранять persistence даже при частичном нарушении инфраструктуры управления.
Отчет также отмечает скрытный подход к маскировке некоторых legitimate binaries, что снижало вероятность обнаружения стандартными защитными средствами. Это соответствует общей тенденции в современных espionage operations, где приоритетом становятся stealth и resilience, а не только разработка сложного malware.
Кто был целью
Наиболее интенсивное targeting было зафиксировано против:
- military contractors;
- technology providers, работающих на government structures;
- organizations в South Asia и Southeast Asia.
Отдельно в отчете упоминается заметная victim в Poland, что может указывать на расширение operational reach в сторону NATO member states.
Связь с SHADOW-EARTH-054
Исследователи указывают и на пересечение между SHADOW-EARTH-053 и связанной группой SHADOW-EARTH-054. Сходство проявляется в профилях жертв и используемых toolsets, что подчеркивает interconnected nature современных cyber espionage campaigns.
«Устаревшие системы Microsoft Exchange остаются значительной attack surface, а медленные cycles обновления и operational constraints продолжают создавать длительные возможности для exploitation».
Почему это важно
Вывод отчета однозначен: наличие не обновленных версий Microsoft Exchange по-прежнему создает серьезный риск для организаций. В таких условиях defenders не могут полагаться только на signature-based detection, поскольку операции вроде SHADOW-EARTH-053 выстроены так, чтобы обходить традиционные средства защиты.
Авторы материала рекомендуют делать акцент на:
- behavior-based detection;
- rapid patch management;
- comprehensive visibility в инфраструктуре;
- proactive threat hunting.
Таким образом, SHADOW-EARTH-053 демонстрирует, как современные espionage actors комбинируют exploitation, stealth, credential theft и persistent access, используя хорошо известные уязвимости и легитимные инструменты для достижения своих целей.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
