Um grupo de ameaças alinhado à China rastreado como SHADOW-EARTH-053 tem explorado vulnerabilidades não corrigidas do Microsoft Exchange Server para conduzir ciberespionagem contra alvos governamentais e ligados à defesa na Ásia e além. A atividade do grupo remonta a pelo menos dezembro de 2024, com campanhas atingindo pelo menos oito países.
descoberta e escopo
Os analistas da Trend Micro identificaram esta campanha por meio da análise contínua de implantes ShadowPad. O grupo utiliza a cadeia de vulnerabilidades ProxyLogon, incluindo CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065. Apesar de antigas, essas vulnerabilidades permanecem pontos de entrada eficazes em ambientes com instalações de Exchange legadas ou não corrigidas.
vetor e exploração
O vetor de ataque primário envolve a exploração de vulnerabilidades N-day em servidores Microsoft Exchange e Internet Information Services (IIS) voltados para a internet. O grupo comprometeu ministérios governamentais, contratantes de TI adjacentes à defesa e organizações de transporte. Em alguns casos, o SHADOW-EARTH-053 usou seu acesso ao servidor Exchange para instalar um snap-in de gerenciamento e exportar conteúdo de caixas de correio de alto valor.
entrega do malware
O malware primário usado é o ShadowPad, um implante modular avançado. O grupo consistentemente usou um mecanismo de carregamento de três arquivos para implantar o ShadowPad. Isso consiste em um executável legítimo assinado vulnerável ao sideloading de DLL, uma DLL maliciosa que carrega a carga útil e um payload ShadowPad criptografado armazenado no registro.
Um carregador chave envolveu um executável legítimo da pilha Bluetooth Toshiba renomeado para CIATosBtKbd.exe para carregar uma DLL maliciosa chamada TosBtKbd.dll. O carregador recupera sua carga útil do Registro do Windows.
impacto e alcance
O impacto desta campanha é substancial, com alvos em pelo menos oito países, incluindo um estado membro da OTAN na Europa, identificado como Polônia. A operação visa principalmente ciberespionagem e roubo de propriedade intelectual. O grupo compartilhou ferramentas e hashes idênticos com o conjunto de intrusão SHADOW-EARTH-054.
medidas de mitigação recomendadas
Organizações com infraestrutura Microsoft Exchange ou IIS voltada para a internet devem aplicar os últimos patches de segurança imediatamente. Onde o patch imediato não for possível, implemente Sistemas de Prevenção de Intrusão (IPS) ou Firewalls de Aplicação Web (WAF) com regras para bloquear tentativas de exploração.
Implemente Monitoramento de Integridade de Arquivos (FIM) estrito em diretórios web críticos. Garanta que o processo de trabalhador IIS (w3wp.exe) execute com os privilégios mais baixos possíveis. Monitore conexões de saída inesperadas iniciadas pelo servidor web.
perguntas frequentes
Qual o objetivo do grupo? Ciberespionagem e roubo de propriedade intelectual.
Quais CVEs são explorados? A cadeia ProxyLogon (CVE-2021-26855, 26857, 26858, 27065).
Como detectar? Monitorar scripts de servidor (.aspx, .ashx) e processos w3wp.exe gerando shells.