CL-STA-1087: długotrwała kampania cyberwywiadowcza przeciwko zdolnościom wojskowym Azji Południowo-Wschodniej

Wprowadzenie do problemu / definicja

CL-STA-1087 to oznaczenie klastra aktywności powiązanego z długotrwałymi operacjami cyberwywiadowczymi wymierzonymi w organizacje wojskowe w Azji Południowo-Wschodniej. Kampania wyróżnia się cierpliwością operacyjną, selektywnym pozyskiwaniem danych oraz wykorzystaniem niestandardowych narzędzi malware zaprojektowanych z myślą o utrzymaniu dostępu i ograniczeniu wykrywalności.

W centrum zainteresowania napastników znalazły się informacje o znaczeniu strategicznym, w tym dokumenty dotyczące zdolności operacyjnych, struktur organizacyjnych, systemów dowodzenia oraz współpracy z zachodnimi siłami zbrojnymi. To wskazuje, iż celem działań nie był sabotaż, ale długofalowe rozpoznanie i pozyskiwanie danych o wysokiej wartości wywiadowczej.

W skrócie

Kampania CL-STA-1087 była obserwowana co najmniej od 2020 roku i została powiązana z ukierunkowanym cyberszpiegostwem przeciwko podmiotom wojskowym. Atakujący utrzymywali długoterminową obecność w środowisku ofiar, wykorzystywali ruch boczny, mechanizmy trwałości oraz ukrytą komunikację z infrastrukturą dowodzenia.

• celem były organizacje wojskowe i zasoby o znaczeniu strategicznym,
• napastnicy korzystali z backdoorów AppleChris i MemFun oraz modułu kradzieży poświadczeń Getpass,
• do rozprzestrzeniania stosowano m.in. PowerShell, WMI i natywne mechanizmy .NET,
• istotną rolę odegrały techniki stealth, w tym działanie w pamięci i maskowanie komunikacji C2,
• kampania wskazuje na wysoką dojrzałość operacyjną i konsekwentne nastawienie na wywiad.

Kontekst / historia

Według ustaleń analityków aktywność klastra sięga przynajmniej 2020 roku. Dochodzenie rozpoczęto po wdrożeniu narzędzi EDR, które wykryły podejrzane działania PowerShell sugerujące, iż naruszenie trwało już wcześniej i nie było incydentem jednorazowym.

Analiza wykazała, iż napastnicy mieli wcześniej uzyskany punkt zaczepienia na niezarządzanym hoście, gdzie przez długi czas utrzymywali dostęp w stanie uśpienia. Taki model działania jest charakterystyczny dla operacji APT, które koncentrują się na dyskretnej obecności w środowisku i uruchamiają kolejne fazy ataku dopiero wtedy, gdy pojawia się możliwość dotarcia do najbardziej wartościowych zasobów.

Wśród celów znalazły się serwery, kontrolery domeny, stacje robocze zespołów IT oraz urządzenia używane przez kadrę kierowniczą. Taki dobór ofiar sugeruje, iż operatorzy kampanii starali się uzyskać zarówno szeroki wgląd w architekturę środowiska, jak i dostęp do dokumentów wspierających analizę zdolności wojskowych oraz procesów decyzyjnych.

Analiza techniczna

Łańcuch ataku obejmował kilka etapów i był zaprojektowany tak, aby minimalizować ślady na dysku. W początkowej fazie napastnicy utrzymywali trwałość na niezarządzanym urządzeniu, a następnie uruchamiali zdalnie skrypty PowerShell tworzące reverse shell do wielu serwerów C2. Po okresie bezczynności wznowili aktywność i rozpoczęli rozprzestrzenianie złośliwego systemu w sieci ofiary.

Do propagacji wykorzystano m.in. WMI oraz natywne polecenia .NET, co ograniczało potrzebę używania dodatkowych narzędzi i utrudniało detekcję. Mechanizmy persistence obejmowały tworzenie nowych usług oraz DLL hijacking, dzięki czemu złośliwe biblioteki mogły być ładowane przez legalne komponenty systemowe.

Jednym z głównych backdoorów użytych w kampanii był AppleChris. Malware występował w kilku wariantach, w tym w starszej wersji częściowo opartej o Dropbox oraz w nowszym wariancie określanym jako Tunneler. Narzędzie korzystało z techniki dead drop resolver, pobierając zaszyfrowane dane o infrastrukturze C2 z publicznie dostępnych zasobów, co umożliwiało zmianę serwerów sterujących bez ponownego wdrażania próbki.

Po uzyskaniu adresu serwera C2 AppleChris rejestrował sesję z identyfikatorem powiązanym z informacjami o hoście i obsługiwał szeroki zestaw poleceń administracyjnych. Obejmowały one enumerację dysków, listowanie katalogów, przesyłanie i usuwanie plików, uruchamianie zdalnej powłoki, tworzenie procesów oraz tunelowanie ruchu. Część wariantów stosowała także opóźnione wykonanie i techniki unikania środowisk sandbox.

Drugim istotnym komponentem był MemFun, wieloetapowy malware działający niemal całkowicie w pamięci. Łańcuch infekcji obejmował loader podszywający się pod legalny proces, downloader in-memory oraz końcowy ładunek DLL pobierany z serwera C2. W analizie wskazano użycie process hollowing, reflective DLL loading, timestompingu oraz czyszczenia nagłówków PE w pamięci, co znacząco utrudnia analizę śledczą i wykrywanie artefaktów.

Komunikacja MemFun odbiegała od standardowych wzorców sieciowych. Moduł wykorzystywał niestandardowe schematy HTTP oraz sesyjne szyfrowanie oparte na dynamicznie generowanym kluczu Blowfish. Takie podejście zwiększało elastyczność operatora i ograniczało skuteczność prostych mechanizmów detekcyjnych opartych wyłącznie na sygnaturach.

Trzecim elementem zestawu narzędzi był Getpass, zmodyfikowany wariant Mimikatz uruchamiany jako biblioteka DLL. Narzędzie podnosiło uprawnienia, uzyskiwało dostęp do pamięci procesu LSASS i automatycznie wyciągało poświadczenia z wielu pakietów uwierzytelniania Windows. Pozyskane dane były zapisywane w pliku podszywającym się pod legalną bazę systemową, co miało zmniejszyć ryzyko wzbudzenia podejrzeń administratorów.

Konsekwencje / ryzyko

Najważniejszym zagrożeniem w tej kampanii nie było głośne zakłócenie działania systemów, ale długotrwała i ukryta utrata poufności informacji o znaczeniu strategicznym. Atakujący koncentrowali się na danych dotyczących struktur dowodzenia, działań wojskowych, ocen zdolności operacyjnych oraz systemów C4I, co mogło przełożyć się na realne osłabienie bezpieczeństwa operacyjnego ofiar.

Z perspektywy obrońcy szczególnie niebezpieczne były trzy cechy operacji. Po pierwsze, długi czas przebywania w środowisku bez intensywnej aktywności utrudniał korelację zdarzeń i szybkie przypisanie incydentu do konkretnej kampanii. Po drugie, modularność malware i wykonywanie zadań w pamięci ograniczały liczbę artefaktów na dysku. Po trzecie, wykorzystanie legalnych mechanizmów systemowych oraz publicznie dostępnych zasobów do obsługi komunikacji C2 zacierało granicę między ruchem prawidłowym a złośliwym.

Rekomendacje

Organizacje o podwyższonym profilu ryzyka powinny wdrożyć wielowarstwowe monitorowanie telemetryczne obejmujące PowerShell, WMI, tworzenie usług, zmiany w katalogach systemowych oraz nietypowe operacje na procesie LSASS. Szczególną uwagę warto zwrócić na uruchamianie binariów podszywających się pod legalne procesy aktualizacyjne oraz na anomalie w ruchu HTTP wykorzystującym niestandardowe metody lub nagłówki.

Kluczowe jest także objęcie ochroną systemów niezarządzanych i zasobów peryferyjnych, ponieważ to właśnie one często stają się punktem wejścia lub trwałości. W środowiskach krytycznych należy ograniczać możliwość zdalnego wykonywania poleceń administracyjnych, segmentować sieć, monitorować ruch lateralny i konsekwentnie stosować zasadę najmniejszych uprawnień.

• rozwijać detekcję behawioralną zamiast polegać wyłącznie na wskaźnikach kompromitacji,
• traktować DLL hijacking, process hollowing, reflective loading, timestomping i dead drop resolver jako odrębne scenariusze detekcyjne,
• wdrażać ochronę poświadczeń i blokować nieautoryzowany dostęp do LSASS,
• regularnie przeglądać konta uprzywilejowane oraz ścieżki administracyjne,
• w reagowaniu na incydenty prowadzić analizę pamięci, historii zadań administracyjnych i ruchu bocznego.

Samo usunięcie plików z dysku może być niewystarczające, jeżeli część ładunków była ładowana wyłącznie do pamięci lub jeżeli operator utrzymuje alternatywne kanały dostępu. Dlatego proces reagowania powinien obejmować pełne odtworzenie ścieżki ataku oraz weryfikację wszystkich punktów trwałości.

Podsumowanie

CL-STA-1087 to przykład dojrzałej operacji APT prowadzonej z dużą dyscypliną operacyjną i wyraźnym nastawieniem na cele wywiadowcze. Kampania pokazuje, iż współczesne zagrożenia dla sektora obronnego coraz częściej opierają się na cichym utrzymywaniu dostępu, precyzyjnym doborze ofiar oraz własnym, rozwijanym zestawie narzędzi malware.

Dla zespołów bezpieczeństwa najważniejszy wniosek jest jasny: skuteczne wykrywanie takich działań wymaga głębokiej telemetrii, analizy behawioralnej oraz gotowości do śledztw obejmujących pamięć operacyjną, tożsamości i ruch wewnątrz sieci. W przypadku kampanii o charakterze cyberwywiadowczym przewagę daje nie tylko szybka reakcja, ale przede wszystkim umiejętność dostrzeżenia subtelnych oznak długotrwałej obecności przeciwnika.

Źródła

1. Security Affairs – CL-STA-1087 targets military capabilities since 2020 — https://securityaffairs.com/189553/apt/cl-sta-1087-targets-military-capabilities-since-2020.html
2. Unit 42 – Suspected China-Based Espionage Operation Against Military Targets in Southeast Asia — https://unit42.paloaltonetworks.com/espionage-campaign-against-military-targets/
3. MITRE ATT&CK – DLL Hijacking — https://attack.mitre.org/techniques/T1574/001/
4. MITRE ATT&CK – Process Hollowing — https://attack.mitre.org/techniques/T1055/012/
5. MITRE ATT&CK – Reflective Code Loading — https://attack.mitre.org/techniques/T1620/