Κινέζοι χάκερ που χρησιμοποιούν προσαρμοσμένη μονάδα ακρόασης ShadowPad IIS για να μετατρέψουν τους παραβιασμένους διακομιστές σε ενεργούς κόμβους

Η ομάδα χρησιμοποιεί μια προσαρμοσμένη μονάδα ακρόασης ShadowPad IIS για να μετατρέψει τους διακομιστές που έχουν παραβιαστεί σε ένα ανθεκτικό, κατανεμημένο δίκτυο αναμετάδοσης.

Αυτή η προσέγγιση επιτρέπει στους εισβολείς να δρομολογούν κακόβουλη κυκλοφορία μέσω της υποδομής των θυμάτων, μετατρέποντας αποτελεσματικά τους παραβιασμένους οργανισμούς σε ένα πλέγμα κόμβων εντολών και ελέγχου.

Η λειτουργία ξεκινά με την εκμετάλλευση μακροχρόνιων τρωτών σημείων, συγκεκριμένα την αποσυνδυασμό του ASP.NET ViewState και τα ελαττώματα του SharePoint όπως το ToolShell.

Αξιοποιώντας κλειδιά μηχανήματος που έχουν διαρρεύσει ή μη επιδιορθωμένα τελικά σημεία, οι εισβολείς επιτυγχάνουν απομακρυσμένη εκτέλεση κώδικα, οδηγώντας σε συμβιβασμό του πλήρους συστήματος.

Μόλις εγκατασταθεί, το κακόβουλο λογισμικό δημιουργεί ένα κρυφό κανάλι που συνδυάζεται άψογα με τη νόμιμη κυκλοφορία Ιστού, καθιστώντας τον εντοπισμό εξαιρετικά δύσκολο για τους υπερασπιστές δικτύου που παρακολουθούν τυπικά πρωτόκολλα.

Αναλυτές Check Point αναγνωρισθείς αυτό το εξελισσόμενο σύμπλεγμα απειλών, σημειώνοντας ότι η ομάδα – επίσης γνωστή ως Earth Alux ή REF7707 – έχει βελτιώσει σημαντικά το εμπορικό της έργο.

Οι ερευνητές παρατήρησαν ότι το Ink Dragon δεν χρησιμοποιεί απλώς τα θύματα για κλοπή δεδομένων, αλλά τα επαναπροσδιορίζει ενεργά για να υποστηρίξει συνεχείς επιχειρήσεις εναντίον άλλων στόχων.

Αυτό δημιουργεί μια αυτοσυντηρούμενη υποδομή που κρύβει την πραγματική προέλευση των επιθέσεων, ενώ μεγιστοποιεί τη χρησιμότητα κάθε παραβιασμένου περιουσιακού στοιχείου.

Αυτή η αρθρωτή αρχιτεκτονική παρέχει στους εισβολείς μόνιμη πρόσβαση και τη δυνατότητα να περιστρέφονται πλευρικά στα δίκτυα.

Η χρήση των εγγενών δυνατοτήτων IIS για την παρακολούθηση και την αναμετάδοση επικοινωνιών διασφαλίζει ότι η κυκλοφορία εντολών παραμένει κρυφή στις τυπικές ροές HTTP.

Αυτή η στρατηγική επαναχρησιμοποίηση των παραβιασμένων περιουσιακών στοιχείων υπογραμμίζει μια ώριμη επιχειρησιακή φιλοσοφία που επικεντρώνεται στη μακροπρόθεσμη μυστικότητα, την ανθεκτικότητα και τη συνεχή επέκταση της λειτουργικής τους εμβέλειας.

Ο μηχανισμός ακρόασης ShadowPad IIS

Ο πυρήνας αυτής της καμπάνιας είναι μια προσαρμοσμένη μονάδα IIS που λειτουργεί διαφορετικά από τα παραδοσιακά backdoors.

Αντί απλά να ανοίξει μια θύρα, χρησιμοποιεί το HttpAddUrl API για την εγγραφή δυναμικών προγραμμάτων ακρόασης URL που παρεμποδίζουν συγκεκριμένα αιτήματα HTTP.

Όταν ένα αίτημα ταιριάζει με το διαμορφωμένο μοτίβο, η μονάδα αποκρυπτογραφεί το ωφέλιμο φορτίο για να προσδιορίσει εάν πρόκειται για εντολή.

Εάν η επισκεψιμότητα δεν ταιριάζει με το ιδιόκτητο πρωτόκολλο, η λειτουργική μονάδα την προωθεί στον νόμιμο εργαζόμενο IIS, ο οποίος εξυπηρετεί κανονικό περιεχόμενο ιστού για να αποφύγει την υποψία.

Αυτή η μυστική υποκλοπή επιτρέπει στο εμφύτευμα να συνυπάρχει με νόμιμες εφαρμογές χωρίς να διακόπτεται η διαθεσιμότητα της υπηρεσίας.

Η μονάδα χρησιμοποιεί μια συγκεκριμένη ρουτίνα αποκρυπτογράφησης για το χειρισμό των αρχικών πακέτων, διασφαλίζοντας ότι επεξεργάζεται μόνο την κυκλοφορία εξουσιοδοτημένου χειριστή.

def decrypt_first_packet(buf: bytearray, seed: int, length: int):
     count = length - 2
     seed_lo = buf[0]
     seed_hi = buf[1]
     num = (seed_hi > 16) & 0xFFFF
         num = (hi * 0x7093915D - num * 0x6EA30000 + 0x06B0F0E3) & 0xFFFFFFFF
         buf[pos] ^= num & 0xFF
         pos += 1
     return buf

Διατηρώντας ξεχωριστές λίστες για κόμβους διακομιστή και πελάτη, το κακόβουλο λογισμικό ζευγαρώνει αυτόματα τις συνδέσεις για τη μετάδοση δεδομένων μεταξύ τους.

Αυτό δίνει τη δυνατότητα στους εισβολείς να γεφυρώνουν τις επικοινωνίες μεταξύ άσχετων δικτύων θυμάτων, περιπλέκοντας τις προσπάθειες απόδοσης και αποκατάστασης.

Αυτή η λογική αναμετάδοσης υποστηρίζεται από λεπτομερή καταγραφή εντοπισμού σφαλμάτων, η οποία τεκμηριώνει τις μεταφορές byte και βοηθά τους αναλυτές να χαρτογραφήσουν το ευρύτερο γράφημα επικοινωνίας.