👽 Phantom Taurus — NET-STAR: новый «китайский» APT и .NET-IIS бэкдоры

Unit 42 обнаружили новый китайский nexus-APT, обозначенный Phantom Taurus.

🎯 Группа целится в МИДы / посольства, телекомы и госструктуры в регионе Middle East / Africa / Asia и примечательна уникальным набором TTP и собственным .NET-IIS набором — NET-STAR (IIServerCore + AssemblyExecuter v1/v2).

🫆Быстрая картина атак (high-level flow)
• Первичное проникновение — web-shell / уязвимый IIS endpoint (часто OutlookEN.aspx как загрузчик).

• Загрузка в память IIServerCore (fileless) → поддержка динамической загрузки .NET-ассемблей (AssemblyExecuter).

• Пост-эксплуатация — поиск нужной информации: сначала email-theft, в 2025 — сдвиг в сторону целевых SQL-дампов через mssq.bat и WMI-исполнение.

• Экфильтрация — зашифрованные C2 (AES), память-только payloads, timestomp / изменение дат для сокрытия следов.

🛠️ Основной тулкит (подборка)
• NET-STAR suite: IIServerCore, AssemblyExecuter v1, AssemblyExecuter v2 (v2 — AMSI & ETW bypass).

• Вспомогательные/известные инструменты в наборе TTP: China Chopper, JuicyPotato/SharpEfsPotato, Impacket, Mimikatz, TunnelSpecter, SweetSpecter и др. (см. Appendix A в отчёте).

Что делает NET-STAR (технически)
• IIServerCore — модульный fileless backdoor: загружается через ASPX web-shell (OutlookEN.aspx), держится в w3wp.exe, принимает команды, загружает .NET-assemblies из Base64, выполняет в памяти, шифрует ответ AES, поддерживает timestomp/changeLastModified.

• AssemblyExecuter v1 — in-memory загрузка и исполнение .NET-assemblies (минимальная «шумность» для AV).
AssemblyExecuter v2 — как v1 + методы обхода AMSI/ETW; применение обходов динамически по параметрам.

🐱 Detection & Hunting
• Наличие ASPX-файлов с встроенным Base64-блоком (особенно OutlookEN.aspx или похожие имена).
• w3wp.exe с нетипичной динамической загрузкой .NET-ассемблей (Assembly.Load / Reflection / Invoke), особенно если командный поток содержит STAR-delimited Base64.
• Необычные модификации timestamps (файлы с будущими датами, timestomp).
• Команды на исполнение SQL через WMI (запуски mssq.bat, sqlcmd под контекстом удалённого выполнения).

Hunting tips:
• Фокус — memory only поведения: инструменты типа Sysmon + ETW/Process-Create/ModuleLoad + EDR memory-callbacks помогут увидеть Assembly.Load и динамическое Reflection.
• Коррелируйте ASPX-загрузки с сетевыми запросами к ненормальным C2 и с последующими WMI-вызовами (вспышка wmic process call create / win32_process выполняющие mssq.bat).

Проактивно просканируйте webroot на ASPX с Base64 и сравните SHA/текстовые отпечатки с known-IOCs.

IOCs (средне/высокая степень уверенности)
SHA256:
1. IIServerCore (ServerCore.dll): eeed5530fa1cdeb69398dc058aaa01160eab15d4dcdcd6cb841240987db284dc.
2. AssemblyExecuter V1 (ExecuteAssembly.dll): 3e55bf8ecaeec65871e6fca4cb2d4ff2586f83a20c12977858348492d2d0dec4.
3. AssemblyExecuter V2 (ExecuteAssembly.dll): afcb6289a4ef48bf23bab16c0266f765fab8353d5e1b673bd6e39b315f83676e and b76e243cf1886bd0e2357cbc7e1d2812c2c0ecc5068e61d681e0d5cff5b8e038.
(Добавьте эти SHA в EDR/AV/IOC-feeds; ищите совпадения в внутренней телеметрии.)

Быстрая тактика реагирования (playbook bullets)
• Изолируйте и снимите дамп w3wp.exe при подозрении на in-memory .NET-загрузку.
Соберите веб-корень (ASPX) и сделайте хеши/стринг-анализ (ищем Base64, STAR-delimiter).
• Проверьте WMI-журналы на remote WMI execution и поиск mssq.bat/sql-вызовов.
• Проанализируйте сетевой трафик на AES-зашифрованные POST/GET с нестандартными параметрами и STAR-делимитером.
• Удалите/ресторите компрометированные web-файлы, обновите веб-серверы, примените правила Web Application Firewall для блокировки подозрительных ASPX загрузок.

🔗https://unit42.paloaltonetworks.com/phantom-taurus/
🦔THF