针对东南亚政府的网络间谍攻击与Stately Taurus（又名Mustang Panda）有关

执行摘要

一个高级持续威胁 (APT) 组织被怀疑为 Stately Taurus，参与了针对东南亚政府的多起网络间谍入侵活动。这些入侵至少发生在 2021 年第二季度至 2023 年第三季度。根据我们的观察和分析，攻击者从受感染的网络中收集并窃取了敏感文档和其他类型的文件。

我们发现这一活动是对东南亚政府内部受损环境进行调查的一部分。我们将这组活动识别为 CL-STA-0044。

我们对这一系列活动的分析表明，他们试图在受感染的网络中建立强大而持久的立足点，并窃取与为政府工作的相关个人相关的敏感信息。

我们以中高置信度得出结论，该活动与中国网络间谍组织 Stately Taurus 有关。该组织还有多个别名，包括 Mustang Panda、BRONZE PRESIDENT、TA416、RedDelta 和 Earth Preta。多年来，第 42 部队一直观察该组织收集东南亚地区及其周边目标的信息。

这种归因是通过使用独特的、罕见的工具（例如 ToneShell 后门）来支持的，这些工具尚未与任何其他已知威胁行为者相关联的公开记录。

我们对这组活动的描述提供了对 APT 使用的工具和方法的深入技术见解。它还包括一个活动时间表，可以帮助防御者获取重要信息，您可以使用这些信息来寻找民族国家的高级持续威胁。

活动时间表

CL-STA-0044 详情

侦察

为了更好地了解被破坏的网络，CL-STA-0044 背后的威胁参与者扫描了受感染的环境，以查找活动主机和开放端口，以及现有的域用户和域组。

我们观察到对手使用几种不同的工具来实现这些目标：

1. LadonGo：LadonGo 是一个由中文开发人员创建的开源扫描框架。威胁参与者使用 LadonGo 扫描活动主机并使用smbscan、pingscan和sshscan等命令打开端口。

2. NBTScan：NBTScan 是一个用于扫描 IP 网络以获取 NetBIOS 名称信息的程序。

3. AdFind： AdFind 是一个命令行查询工具，可以从Active Directory 收集信息。威胁参与者将工具重命名为a.logs。如图2所示，威胁参与者将AdFind的结果保存到以下文件名：

• Domain_users_light.txt
• Domain_computers_light.txt
• Domain_groups_light.txt

这些文件名仅在有关“渗透测试方法参考”的GitHub 页面中提及。

图 2. 防止 AdFind 尝试转储域用户的详细信息。

4. Impacket ： Impacket集合包括许多具有与远程执行、Kerberos 攻击、凭证转储等相关功能的工具。图 3 说明了这些命令。威胁行为者使用 Impacket 收集有关网络的信息、发现计算机和用户，并查询远程计算机上的目录以获取要泄露的有趣文件。

图 3. 通过 Impacket 运行的侦察命令。

凭证窃取

Unit 42 研究人员观察到 CL-STA-0044 活动背后的威胁参与者试图使用多种凭据窃取技术来转储来自不同主机和 Active Directory 的密码：

• Hdump：威胁行为者部署并使用了Hdump.exe（重命名为h64.exe），这是研究人员观察到中国威胁行为者使用的一种凭据窃取实用程序。威胁参与者使用 Hdump 使用-a （全部转储）标志从内存中转储凭据。

图4为Hdump的帮助菜单：

• MimiKatz：威胁参与者多次尝试转储lssas.exe的内存，使用凭据收集工具 MimiKatz（名为l.doc）来提取用户的凭据。
• DCSync：威胁参与者尝试使用 MimiKatz 的 DCSync 功能，该功能使攻击者能够在受害者网络中模拟域控制器 (DC)，以从合法 DC 检索用户凭据。然后，他们将收集到的信息保存到名为log.txt的文件中。

图 5.DCSync 命令。

• 窃取 Ntds.dit 文件：为了窃取 Active Directory 数据，威胁参与者使用Vssadmin工具在 DC 上创建C:驱动器的卷影副本。然后，他们从卷影副本中检索Ntds.dit文件，如图 6 所示。

Ntds.dit文件是一个存储 Active Directory 数据的数据库，包括有关用户对象、组、组成员身份和（最重要的）密码哈希的信息。

威胁参与者还窃取了包含启动密钥的系统文件。此密钥是解密Ntds.dit文件所必需的。

图 6. 窃取Ntds.dit文件。

滥用现有的防病毒软件

我们观察到 CL-STA-0044 活动背后的威胁参与者在受感染的环境中滥用现有防病毒软件。我们发现威胁行为者滥用 ESET 的远程管理代理在远程主机上执行命令并安装后门。

他们使用进程ERAAgent.exe来执行 BAT 文件，其命名模式为C:WindowsTempra-run-command-xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx.bat（其中xxx替换为随机数字和字符） ）。

这些.bat文件执行侦察命令并向磁盘写入额外的后门，如图 7 所示。这些文件似乎负责执行由 ESET 的Run Command任务启动的命令。

图 7. 阻止ERAAgent.exe执行的可疑行为。

维护访问：Web Shell 和后门

在此活动中，CL-STA-0044 背后的威胁参与者使用了多种方法在受感染的环境中保持立足点。这些方法包括使用多个后门和 Web shell。

ToneShell 未记录的变体

CL-STA-0044 背后的威胁参与者在此次活动中使用的流行后门之一是名为 ToneShell 的恶意软件的未记录变体。趋势科技报告Stately Taurus 已使用此恶意软件。

与之前报道的 ToneShell 版本不同，该版本使用 shellcode 作为恶意软件的有效负载，新变种的完整功能是由三个协同工作的 DLL 组件构建的。

每个 DLL 组件都有不同的用途：

• 持久化组件：负责后门的持久化，并将其他组件写入磁盘。
• 网络组件：负责命令和控制（C2）通信。
• 功能组件：负责执行后门的不同命令。

此外，ToneShell 的每个组件都通过 DLL 旁加载加载到不同的合法进程中。组件之间的内部通信是通过使用管道来完成的。

将未记录的变体与之前报告的 shellcode 变体进行比较（如图 8 所示），可以清楚地看出代码库和功能以及字符串中存在重叠。这些字符串在 shellcode 变体中保存为堆栈字符串。

图 8.ToneShell 字符串重叠。

持久化组件

持久性组件（nw.dll、nw_elf.dll）被旁加载到PwmTower.exe中，PwmTower.exe 是趋势科技密码管理器的一个组件，是一种已知的安全工具。

持久性组件将根据进程的权限创建不同类型的持久性。如果有足够的权限，持久性组件将创建两种类型的持久性：

• 名为DISMsrv的服务（Dism Images Servicing Utility Service）
• 名为TabletPCInputServices或TabletInputServices 的计划任务

如果没有足够的权限，持久性组件将创建另外两种类型的持久性：

• 名为TabletPCInputServices或TabletInputServices 的注册表运行键
• 名为TabletPCInputServices或TabletInputServices 的计划任务

一旦持久性组件作为服务执行，它将其他组件放入磁盘并执行网络组件。

网络组件

网络组件 ( rw32core.dll ) 被旁加载到Brcc32.exe中，Brcc32.exe 是应用程序开发工具 Embarcadero 的资源编译器。

网络组件使用域www.uvfr4ep[.]com进行 C2 通信。然后，通过使用管道，它与功能组件通信以执行来自 C2 的命令。

功能组件

功能组件 ( secur32.dll ) 被侧载到Consent.exe，这是一个 Windows 二进制文件，文件元数据将其标识为“管理应用程序的 Consent UI”。

功能组件的能力包括以下内容：

• 执行命令
• 文件系统交互
• 下载和上传文件
• 键盘记录
• 屏幕截图

图 9 展示了 ToneShell 后门的进程树。

Web Shells

除了通过各种后门保持对受害者环境的访问之外，在某些情况下，威胁行为者还通过 China Chopper Web shell 保持对受害者环境的访问。在一个例子中，其中一个后门似乎出现故障并在受感染的主机上崩溃。为了克服这个问题，威胁行为者使用他们的 Web shell 访问来解决后门故障。

Cobalt Strike

除了使用 Web shell 访问之外，威胁参与者还向后门出现故障的受感染主机发送了 Cobalt Strike 代理。他们以libcurl.dll 的名称部署了 Cobalt Strike 代理。

威胁行为者使用 DLL 旁加载来滥用合法进程GUP.exe（Notepad++ 的一个组件）来执行恶意代理。

部署后，威胁行为者很快删除了 Cobalt Strike 代理。这可能意味着他们部署代理只是为了暂时获得额外的功能，以便他们能够对出现故障的后门进行故障排除。

ShadowPad

CL-STA-0044 背后的威胁行为者多次部署了ShadowPad 后门。ShadowPad 是一种模块化恶意软件，至少从 2015 年起就被多个中国威胁行为者使用。ShadowPad 被认为是 PlugX 的后继者，PlugX 是受中国威胁行为者欢迎的模块化恶意软件的另一个例子。

威胁行为者滥用 DLL 旁加载将 ShadowPad 模块 ( log.dll ) 加载到合法可执行文件 ( BDReinit.exe ) 中，该可执行文件是 Bitdefender 崩溃处理程序（重命名为net.exe）安全工具的组件。当log.dll加载到内存中时，它会搜索保存在同一目录中名为log.dll.dat的文件来解密shellcode并执行有效负载。

如图 10 所示，ShadowPad 然后生成代码并将其注入到wmplayer.exe中，wmplayer.exe 又生成代码并将代码注入到dllhost.exe中。Elastic Security Labs 的研究人员过去曾描述过这种行为。

ShadowPad 使用服务DataCollectionPublisingService ( DapSvc ) 为重命名的BDReinit.exe ( net.exe ) 创建持久性。图 10 说明了 ShadowPad 的进程树。

图 10.ShadowPad 进程树。

精准化、智能化运营

针对特定个人

对威胁行为者行为的分析表明，CL-STA-0044 背后的威胁行为者已对其受害者进行了大量情报工作。在一些情况下，Unit 42 研究人员观察到威胁行为者使用已知的Lolbin 实用程序wevtutil来收集有关在受害者组织工作的个人的特定用户名的信息。

威胁参与者搜索了Windows 安全日志事件 ID 4624，该事件记录了成功的登录尝试。他们还搜索了Windows 安全日志事件 ID 4672，该事件记录了新登录会话的敏感权限分配。

威胁参与者使用这些日志事件来找出感兴趣的特定用户登录了哪些计算机，以查明感兴趣的主机名。威胁行为者随后会破坏这些机器并从中收集敏感数据以进行泄露。图 11 显示了用于搜索成功登录尝试的 wevtutil。

图 11. Wevtutil 用于搜索成功的登录尝试。

渗漏

在整个攻击过程中，威胁行为者试图从受感染的计算机中窃取许多文档和其他敏感信息。在渗漏之前，威胁参与者使用rar.exe来归档感兴趣的文件。

图 12 显示，在某些情况下，威胁行为者会搜索特定的文件扩展名。在其他情况下，他们归档了完整的目录。

图 12. 归档特定文件扩展名

威胁行为者使用各种工具来发起渗透。在已经受感染的主机上，他们使用 ToneShell 后门执行rar.exe。为了访问其他未受感染的主机，他们使用 Impacket 和 RemCom 等工具远程执行rar.exe。RemCom 是远程 shell 或 telnet 的替代品，可让您在远程 Windows 系统上执行进程。

在感兴趣的主机上，威胁参与者为负责归档文件 ( autorun.vbs ) 的脚本创建了持久性，如图 13 所示。为此，他们将 VBS 脚本保存在启动目录中，这导致它每次打开机器时运行。这种行为可能表明威胁行为者的目标是从受害者那里获取持续的情报流，而不仅仅是一次完成的操作。

图 13. 归档脚本持久性。

归档文件后，我们观察到威胁行为者使用两种渗透方法。第一种方法是使用 curl 和 ftp 将文件上传到名为ftp.1fichier[.]com的云存储站点。

观察到的第二种方法是将存档文件上传到 Dropbox，这是一种文件托管服务，如图 14 所示。这种渗透方法很受威胁行为者欢迎，因为 Dropbox 服务是人们经常合法使用的服务，这使得恶意活动更难以检测。

图 14. 使用 Dropbox 进行数据泄露。

威胁行为者经常出于恶意目的滥用、利用或颠覆合法产品。这并不一定意味着被滥用的合法产品存在缺陷或恶意。

归因

根据对我们现有信息的分析，我们以中高置信度评估，作为 CL-STA-0044 一部分观察到的活动与 APT 群体 Stately Taurus 相关。该组织也被称为 Mustang Panda、BRONZE PRESIDENT、TA416、RedDelta 和 Earth Preta。

第一个归因轴是集群中使用的后门。CL-STA-0044 背后的威胁行为者使用的主要后门是 ToneShell 后门的一个未记录的变体，趋势科技之前报道过Stately Taurus 使用过该后门。ToneShell 似乎是该组织独有的工具。在撰写本文时，还没有其他已知的 APT 组织被公开记录为使用 ToneShell 后门。

此外，CL-STA-0044 背后的威胁发起者还部署了 ShadowPad 后门。ShadowPad 是一种复杂的模块化恶意软件，至少自 2015 年以来一直由中国资助的威胁行为者专门使用。此外，在此次活动中观察到的 ShadowPad 的文件名和行为与 Elastic Security Labs 的研究人员在过去的。此活动类似于威胁行为者的 TTP，据信这些威胁行为者是代表中国关系进行运作的。

归因的第二个轴是受害者学。我们观察到与针对东南亚某国政府部门的 CL-STA-0044 相关的活动。据报道，庄严的金牛座以该地区的政府部门为目标。

我们观察到的独特工具和活动的结合让人强烈怀疑 CL-STA-0044 背后的威胁行为者可能是 Stately Taurus APT 组织。这包括 Stately Taurus 常用的 ToneShell 后门，以及中国政府支持的 APT 附属后门 ShadowPad 的部署，以及他们的受害者学。

结论

本文介绍了 CL-STA-0044 的活动，这是我们观察到的针对东南亚国家政府部门的三个集群之一。我们将 CL-STA-0044 背后的威胁行为者的活动与庄严的金牛座联系起来，置信度为中高。

在行动过程中，威胁行为者慢慢地控制了受害者的环境，重点是维持长期行动的控制。威胁行为者的目的似乎是不断收集和泄露敏感文件和情报。

妥协指标

CL-STA-0044

LadonGo

4a8b7cfb2e33aa079ba51166591c7a210ad8b3c7c7f242fccf8cb2e71e8e40d5
12534f7014b3338d8f9f86ff1bbeacf8c80ad03f1d0d19077ff0e406c58b5133
6868f5ce836034557e05c7ddea006a91d6fc59de7e235c9b08787bd6dbd2b837

NBTScan

541bac89b3a414e06b45d778f86b245675922e8b11f866c8b6a827c5d418e598

AdFind

8445aa54adf4d666e65084909a7b989a190ec6eca2844546c2e99a8cfb832fad

Impacket

b000a0095a8fda38227103f253b6d79134b862a83df50315d7d9c5b537fd994b

Hdump

64ab1c1b19682026900d060b969ab3c3ab860988733b7e7bf3ba78a4ea0340b9

MimiKatz

31eb1de7e840a342fd468e558e5ab627bcb4c542a8fe01aec4d5ba01d539a0fc
2254e3242943c0afe038baeafe8381bbff136e6d8f681f0f446bf0e458900643

ToneShell Persistence Component
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ToneShell Networking Component

a08e0d1839b86d0d56a52d07123719211a3c3d43a6aa05aa34531a72ed1207dc
19d07dbc58b8e076cafd98c25cae5d7ac6f007db1c8ec0fae4ce6c7254b8f073
8e801d3a36decc5e4ce6fd3e8e45b098966aef8cbe7535ed0a789575775a68b6
df4ba449f30f3ed31a344931dc77233b27e06623355ece23855ee4fe8a75c267
345ef3fb73aa75538fdcf780d2136642755a9f20dbd22d93bee26e93fb6ab8fd
3a5e69786ac1c458e27d38a966425abb6fb493a41110393a4878c811557a3b5b

ToneShell Functionality Component

66b7983831cbb952ceeb1ffff608880f1805f1df0b062cef4c17b258b7f478ce
f2a6a326fb8937bbc32868965f7475f4af0f42f3792e80156cc57108fc09c034
dafa952aacf18beeb1ebf47620589639223a2e99fb2fa5ce2de1e7ef7a56caa0
52cd066f498a66823107aed7eaa4635eee6b7914acded926864f1aae59571991

Cobalt Strike

8129bd45466c2676b248c08bb0efcd9ccc8b684abf3435e290fcf4739c0a439f

ShadowPad

1874b20e3e802406c594341699c5863a2c07c4c79cf762888ee28142af83547f

RemCom

3c2fe308c0a563e06263bbacf793bbe9b2259d795fcc36b953793a7e499e7f71

Infrastructure

www.uvfr4ep[.]com
Feed-5613.coderformylife[.]info
45.64.184[.]189
43.254.132[.]242
103.27.202[.]68
67.53.148[.]77
207.246.89[.]250

File Paths

C:UsersPublicVideos
C:UsersPublicPictures
C:UsersPublicMusic
C:WindowsHelpHelp
C:WindowsVss
C:WindowsHelpmui
C:WindowsHelpen-US
C:WindowsLogslogs
C:WindowsLogsfiles
C:WindowsHelpCorporate
C:PerfLogs
C:Recovery

转载来源： https://unit42.paloaltonetworks.com/stately-taurus-attacks-se-asian-government/

图片来源网络侵权可联系删除