CL-UNK-1068 uderza w infrastrukturę krytyczną w Azji. Web shelle, Mimikatz i długotrwała infiltracja sieci

Wprowadzenie do problemu / definicja

Kampania oznaczona jako CL-UNK-1068 pokazuje, że przejęcie serwera WWW nadal pozostaje jednym z najskuteczniejszych punktów wejścia do złożonych środowisk firmowych i instytucjonalnych. Atakujący łączą exploity lub inne słabości aplikacji internetowych z wdrożeniem web shelli, a następnie rozszerzają dostęp na kolejne systemy Windows i Linux.

To model działania typowy dla operacji cyberwywiadowczych: po uzyskaniu przyczółka intruzi zbierają dane konfiguracyjne, poświadczenia, informacje o infrastrukturze i utrzymują obecność w sieci przez długi czas. Szczególnie niebezpieczne jest połączenie autorskich narzędzi, komponentów open source oraz technik living-off-the-land, które utrudniają wykrycie aktywności.

W skrócie

Badacze opisali wieloletnią kampanię wymierzoną w organizacje z sektorów lotniczego, energetycznego, rządowego, telekomunikacyjnego, farmaceutycznego i technologicznego w Azji. Ataki rozpoczynały się od kompromitacji serwerów WWW, po czym operatorzy przechodzili do ruchu lateralnego, rozpoznania środowiska, kradzieży poświadczeń i eksfiltracji danych.

• Punktem wejścia były serwery WWW i wdrożone na nich web shelle.
• Celem były organizacje o wysokiej wartości operacyjnej i strategicznej.
• W kampanii wykorzystywano m.in. Godzilla, AntSword, FRP, Xnote, ScanPortPlus, SuperDump, Mimikatz, LsaRecorder, DumpIt i Volatility.
• Działania wskazują na długotrwałą infiltrację oraz silny komponent wywiadowczy.

Kontekst / historia

Aktywność przypisywana klastrowi CL-UNK-1068 była obserwowana od co najmniej 2020 roku. Z czasem operatorzy rozwijali swoje techniki zarówno dla środowisk Windows, jak i Linux, utrzymując nacisk na sektory uznawane za krytyczne i strategiczne.

Według analizy główną motywacją wydaje się pozyskiwanie informacji i trwałe utrzymywanie dostępu do sieci ofiar. Badacze wskazują również na wysokie prawdopodobieństwo chińskiego pochodzenia operatorów, opierając tę ocenę na artefaktach językowych, zestawie narzędzi oraz geograficznym ukierunkowaniu operacji.

W starszych incydentach istotną rolę odgrywało niestandardowe narzędzie rekonesansowe SuperDump. W nowszych włamaniach część tych funkcji przejęły prostsze skrypty wsadowe, co sugeruje pragmatyczne podejście do obniżania kosztu operacji przy zachowaniu skuteczności.

Analiza techniczna

Łańcuch ataku rozpoczynał się od wykorzystania podatności lub błędnej konfiguracji serwerów WWW oraz wdrożenia web shelli, takich jak Godzilla i zmodyfikowany AntSword. Po uzyskaniu dostępu napastnicy przemieszczali się do kolejnych hostów, w tym serwerów SQL, oraz przeszukiwali katalogi aplikacji webowych pod kątem cennych plików.

Szczególnym zainteresowaniem cieszyły się pliki konfiguracyjne i komponenty aplikacyjne, takie jak web.config, appsettings.json, pliki .aspx, .asmx, .asax czy biblioteki .dll. Tego typu zasoby często zawierają connection stringi, poświadczenia, klucze aplikacyjne i inne sekrety umożliwiające dalszą eksploatację środowiska.

Jedną z bardziej charakterystycznych technik eksfiltracji było tworzenie archiwów przy użyciu WinRAR, a następnie kodowanie ich do Base64 poleceniem certutil -encode. Zamiast przesyłać plik tradycyjnym kanałem, operatorzy wyświetlali jego zawartość bezpośrednio przez web shell, co mogło ograniczać widoczność transferu danych w systemach monitorujących.

Istotnym elementem kampanii było również DLL side-loading z użyciem legalnych binariów python.exe i pythonw.exe. W tym scenariuszu obok prawidłowego pliku wykonywalnego umieszczano złośliwą bibliotekę DLL oraz zaciemniony lub zaszyfrowany shellcode, który po uruchomieniu procesu był ładowany i wykonywany w pamięci.

Tą metodą uruchamiano m.in. niestandardowy skaner ScanPortPlus, narzędzie PrintSpoofer oraz FRP wykorzystywany do tunelowania ruchu i utrzymania dostępu. W środowiskach Linux pojawiał się również backdoor Xnote, zapewniający zdalne wykonywanie poleceń, obsługę plików, tunelowanie, a nawet funkcje DDoS.

W obszarze rekonesansu operatorzy zbierali szeroki zestaw informacji o hostach, procesach, użytkownikach, dyskach, zainstalowanym oprogramowaniu oraz historii poleceń. Interesowały ich także dane konfiguracyjne aplikacji administracyjnych i narzędzi zdalnego dostępu, takich jak WinSCP, PuTTY, Navicat czy klienci RDP i SSH.

Najbardziej wrażliwym elementem kampanii była jednak kradzież poświadczeń. Atakujący używali Mimikatz do wydobywania danych uwierzytelniających z pamięci, LsaRecorder do przechwytywania haseł logowania, a także DumpIt i Volatility do zrzutów pamięci i pozyskiwania hashy NTLM, sekretów LSA oraz cached credentials. W niektórych przypadkach eksportowano również zapisane informacje o połączeniach z pliku sqlstudio.bin, co mogło otwierać drogę do dalszego przejęcia systemów bazodanowych.

Konsekwencje / ryzyko

Ryzyko związane z taką kampanią jest bardzo wysokie, ponieważ serwer WWW bywa naturalnym pomostem do aplikacji backendowych, baz danych i usług wewnętrznych. Po przejęciu tego elementu infrastruktury napastnik zyskuje możliwość pozyskania sekretów aplikacyjnych, eskalacji uprawnień i poruszania się po sieci.

Dużym problemem jest również niska sygnatura wielu użytych technik. Legalne binaria, narzędzia open source, skrypty wsadowe i tunelowanie przez FRP mogą wyglądać jak zwykła aktywność administracyjna, przez co detekcja oparta wyłącznie na klasycznych wskaźnikach kompromitacji okazuje się niewystarczająca.

• Możliwa jest kradzież poświadczeń uprzywilejowanych i przejęcie domeny.
• Zagrożone są dane strategiczne, dokumentacja techniczna i informacje operacyjne.
• Długotrwała obecność przeciwnika zwiększa ryzyko kolejnych etapów ataku, w tym sabotażu lub dalszych operacji wywiadowczych.
• Eksfiltracja przez web shell może utrudniać wykrycie wycieku danymi tradycyjnymi mechanizmami monitoringu.

Rekomendacje

Podstawowym priorytetem powinno być ograniczenie powierzchni ataku serwerów WWW. Obejmuje to szybkie łatanie podatności, przegląd konfiguracji aplikacji internetowych, segmentację warstwy webowej od zaplecza bazodanowego oraz ograniczenie uprawnień kont usługowych do absolutnego minimum.

Organizacje powinny monitorować katalogi aplikacyjne pod kątem nowych lub zmodyfikowanych web shelli, bibliotek DLL, nietypowych archiwów i zmian w plikach konfiguracyjnych. Szczególnie istotne jest wykrywanie uruchomień python.exe i pythonw.exe z nietypowych lokalizacji oraz przypadków podejrzanego ładowania bibliotek przez legalne procesy.

Warto wdrożyć reguły behawioralne wykrywające użycie certutil -encode w kontekście serwera aplikacyjnego, nietypowe sekwencje kompresji i odczytu archiwów, uruchamianie narzędzi tunelujących oraz działania wskazujące na ingerencję w LSASS i proces uwierzytelniania. Dodatkowo należy stale analizować połączenia wychodzące do rzadko używanych hostów zewnętrznych.

W środowiskach Windows zalecane jest włączenie ochrony LSASS, stosowanie Credential Guard tam, gdzie to możliwe, oraz ścisła kontrola dostępu administracyjnego. Należy także audytować bezpieczeństwo serwerów SQL i narzędzi administracyjnych, ponieważ pliki kopii zapasowych, connection stringi oraz dane zapisane przez klientów bazodanowych mogą stać się cennym źródłem dalszego dostępu.

• Regularnie audytować serwery WWW i aplikacje internetowe.
• Wyszukiwać web shelle, podejrzane DLL i skrypty rekonesansowe.
• Monitorować użycie Mimikatz, DumpIt, Volatility i FRP.
• Rotować poświadczenia po incydencie oraz wymuszać MFA dla dostępu administracyjnego.
• Przeglądać historię PowerShell i CMD pod kątem rekonesansu oraz archiwizacji danych.

Podsumowanie

CL-UNK-1068 to przykład dojrzałej operacji, w której kompromitacja serwera WWW staje się początkiem szeroko zakrojonej infiltracji środowiska ofiary. Siła tej kampanii nie wynika z pojedynczego zaawansowanego narzędzia, lecz z umiejętnego łączenia web shelli, DLL side-loadingu, tunelowania, rekonesansu i kradzieży poświadczeń.

Dla zespołów bezpieczeństwa najważniejszym wnioskiem jest konieczność przejścia od detekcji opartej wyłącznie na IOC do analizy zachowań, anomalii procesowych i nietypowych metod eksfiltracji. To właśnie takie operacje najlepiej pokazują, że ochrona infrastruktury krytycznej wymaga ciągłego monitoringu, segmentacji oraz szybkiej reakcji na sygnały wskazujące na długotrwałą obecność przeciwnika.

Źródła

1. The Hacker News — https://thehackernews.com/2026/03/web-server-exploits-and-mimikatz-used.html
2. Unit 42: An Investigation Into Years of Undetected Operations Targeting High-Value Sectors — https://unit42.paloaltonetworks.com/cl-unk-1068-targets-critical-sectors/