Shadow-Earth-053 използва стари уязвимости за дългосрочен достъп

Picture of Здравко Боджов
Здравко Боджов
Зловреден код

Разследване на Trend Micro разкрива устойчива и мащабна операция

Изследователи от Trend Micro разкриват активна кибершпионска кампания, проследена като Shadow-Earth-053, свързана с китайски клъстер. Операцията е насочена към правителствени структури, отбранителни организации и критична инфраструктура в Азия, като има индикации за разширяване и към държави от НАТО.

Кампанията се отличава с методичен подход и продължителност – активността датира поне от края на 2024 г., което показва дългосрочна стратегия за проникване и задържане на достъп.

Основният вектор: стари, но неизкърпени уязвимости

Атакуващите разчитат на добре познати уязвимости в Microsoft Exchange Server и Microsoft IIS, включително веригата ProxyLogon.

Въпреки че тези уязвимости са известни от години, те остават ефективни поради липса на навременни актуализации. Това позволява на нападателите да получат първоначален достъп чрез интернет-експонирани системи.

Установяване на контрол: web shell и ShadowPad

След компромис, атакуващите внедряват web shell инструменти като GODZILLA и инсталират ShadowPad – добре познат бекдор, използван в кибершпионски операции.

Тези инструменти осигуряват:

  • постоянен достъп до системите
  • дистанционно изпълнение на команди
  • възможност за скрито управление на инфраструктурата

Разширяване в мрежата: тихо и ефективно придвижване

След първоначалното проникване групата използва легитимни инструменти и системни функции за странично придвижване, включително WMIC и SMB базирани техники.

Наблюдавани са и методи за:

  • извличане на креденшъли чрез Mimikatz
  • достъп до LSASS паметта
  • използване на DCSync техники за домейн контролери

Особено показателно е, че атакуващите често използват вече компрометирани акаунти и инфраструктура, вместо да внедряват нов зловреден код, което прави активността по-трудна за откриване.

Цели на кампанията: отвъд класическото разузнаване

Основният фокус е върху държавни институции в страни като Пакистан, Индия, Тайланд и Тайван. Въпреки това, кампанията включва и:

  • IT компании с договори с правителства
  • транспортни организации
  • журналисти и активисти

Това показва разширена стратегия за събиране на информация, която комбинира геополитическо разузнаване с наблюдение и влияние.

Интересен е и фактът, че има засечена активност в Полша, което подсказва потенциално разширяване извън основния регионален фокус.

Екcфилтрация на данни: целенасочено и адаптивно

Атакуващите използват инструменти като RAR за архивиране на данни и извличат съдържание от пощенски кутии, включително PST файлове с имейли на високо ниво.

В някои случаи се наблюдава адаптивно поведение – първоначални неуспешни опити за извличане се заменят с по-прецизни заявки, насочени към конкретни акаунти с висока стойност.

Свързани кампании и по-широка екосистема

Изследването показва връзки с други intrusion set групи като Shadow-Earth-054, както и припокриване с активности, наблюдавани от други компании за сигурност.

Въпреки сходствата, анализът сочи, че става дума за паралелно използване на едни и същи уязвимости и инструменти, а не за директно координирана операция.

Основният извод: N-day уязвимостите остават критичен риск

Кампанията Shadow-Earth-053 ясно показва, че:

  • стари уязвимости продължават да бъдат ефективен входен вектор
  • интернет-експонираните системи са основна цел
  • липсата на patch management води до дългосрочни компромиси

Това е особено критично за организации, които използват Microsoft Exchange Server и Microsoft IIS в публично достъпна конфигурация.

Препоръки: как да се намали рискът

Организациите трябва да предприемат незабавни мерки:

  • актуализиране на всички публично достъпни сървъри
  • ограничаване на правата на IIS процесите
  • мониторинг за аномалии като стартиране на cmd или PowerShell от web процеси
  • контрол върху директории, използвани за staging на файлове
  • анализ на изходящия трафик от сървъри

Устойчивостта на атакуващите срещу слабостите в защитата

Shadow-Earth-053 демонстрира как държавно подкрепени ATP комбинират стари уязвимости, легитимни инструменти и дългосрочно присъствие, за да изградят ефективни шпионски операции.

Най-важният урок е ясен – непачнати системи и липса на видимост в пост-компромисната фаза остават сред най-големите рискове за модерните организации.

#Exchange, # IIS, # ShadowPad, # кибершпионаж, # уязвимости
e-security.bg

Подобни

Украинeц се призна за виновен за участие в операциите на Conti ransomware
15.06.2026
ransomware
Защо RDP се превръща в предпочитано оръжие на съвременния рансъмуер
14.06.2026
gettyimages-1355321121
ShinyHunters е използвала zero-day уязвимост в Oracle PeopleSoft
14.06.2026
Oracle
Фалшиви FIFA сайтове крадат банкови карти и кодове за потвърждение
13.06.2026
fifa-world-cup
Miasma: Опасната еволюция на Shai-Hulud заплашва екосистемата с отворен код
12.06.2026
malware
GitHub ограничава автоматичното изпълнение на код при инсталиране на пакети
12.06.2026
GitHub___headpic (1)

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Bitdefender пусна безплатен инструмент за проверка на телефонни номера
12.12.2025
telephoneAlamy