Szerző: Boros Balázs

Egy új, eddig dokumentálatlan állami kiberkém aktor lépett a színre: a Phantom Taurus. A Palo Alto Networks Unit 42 kutatói több mint két és fél évig figyelték ezt a kínai kötődésű csoportot, amely főként kormányzati és telekommunikációs szervezeteket támad Afrikában, a Közel-Keleten és Ázsiában. A célpontok között a külügyminisztériumok, nagykövetségek, geopolitikai események és katonai műveletek szerepelnek, a csoport elsődleges célja pedig az érzékeny, nem nyilvános információk megszerzése. A támadások a lopakodásról, a kitartásról és a gyors alkalmazkodásról szólnak, és olyan egyedi TTP-ket (taktikák, technikák és eljárások) alkalmaznak, amelyek ritkán bukkanak fel a fenyegetési térben.

Miért jelent veszélyt a Phantom Taurus 2025-ben?

A globális geopolitikai feszültségek korszakában a fejlett állami fenyegetők nem csak a nagyhatalmak infrastruktúráját veszélyeztetik. A Phantom Taurus példája rávilágít arra, hogy a magas értékű célpontok, például külképviseletek, kormányzati szolgáltatók vagy távközlési cégek mennyire sebezhetőek egy jól szervezett, kitartó támadóval szemben.

Néhány ok, ami miatt érdemes figyelmet fordítani erre a fenyegetésre:

  • Nemzetközi kitettség: A támadási kampányok a Közel-Kelettől Ázsiáig húzódnak, de a használt eszközök és módszerek könnyen adaptálhatók más régiókra is.
  • Egyedi eszközök: A csoport saját fejlesztésű kártevőcsaládokat, például a Specter és az NtoSpy mellett a frissen felfedezett NET-STAR csomagot használja, amely .NET környezetben fut és nehezen detektálható.
  • Adatgyűjtési fókuszváltás: A 2023-as e-mail-alapú adatlopásról 2025-re a közvetlen adatbázis-hozzáférésre váltottak, mssq.bat nevű szkriptjük segítségével SQL szervereken futtatnak célzott lekérdezéseket, majd a találatokat CSV formátumban exportálják.
  • Ritka TTP-k: A támadók olyan technikákat alkalmaznak (például timestomping, fileless végrehajtás), amelyek csak nagyon kevés aktornál fordulnak elő.

A Phantom Taurus fő TTP-i

Az elmúlt évek során megfigyelt támadásokból a kutatók összegyűjtötték a csoport legfontosabb taktikáit és technikáit. Ezek nem csak a szakértői közösség számára jelentenek érdekességet, hanem minden olyan szervezet számára, amely érzékeny információkat kezel.

Kezdeti hozzáférés: A csoport gyakran ismert, de sok helyen be nem foltozott sérülékenységeket használ ki a Microsoft Exchange vagy IIS szervereken (például ProxyLogon, ProxyShell), hogy bejusson a hálózatba.

Élő rendszereszközök (Living-off-the-Land): A támadók Windows Management Instrumentationt (WMI) használnak a mssq.bat szkript távoli végrehajtására, így kerülve el a hagyományos vírusirtókat.

Adatbázis-kifosztás: A mssq.bat szkript rendszergazdai jogosultságokkal (SA felhasználó) csatlakozik SQL szerverekhez, lefuttatja a támadók által megadott lekérdezéseket, majd az eredményeket CSV-be exportálja. A szkriptet WMI segítségével indítják, így az egész folyamat file- és naplómentes maradhat.

Timestomping és maszkírozás: A támadók meghamisítják a betöltött web shell és backdoor fájlok időbélyegeit (changeLastModified), hogy azok régi, legitim fájloknak tűnjenek, megnehezítve a vizsgálatot.

Különleges eszköztár: A standard eszközök (China Chopper, Impacket, Potato-suite) mellett a Phantom Taurus olyan egyedi szoftvereket használ, mint a Specter malware, NtoSpy, illetve a NET-STAR.

A NET-STAR malware suite

A csoport legfrissebb arzenáljának ékköve a NET-STAR nevű, eddig ismeretlen .NET alapú kártevőcsomag, amely az IIS webszerverek kompromittálására specializálódott. A NET-STAR három részből áll:

  • IIServerCore: egy fileless, moduláris backdoor, amely a kérések alapján további kártevőket tölt be memóriába, parancsokat hajt végre és titkosított csatornán küldi vissza az eredményeket
  • AssemblyExecuter v1 a 2024-ben megfigyelt változat, amely más .NET assembly-ket képes memóriából futtatni anélkül, hogy azokat lemezre írná
  • AssemblyExecuter v2 a fejlettebb, 2025-ös kiadás, amely az elődjéhez hasonlóan memóriában futtat assembly-ket, de beépített AMSI- és ETW-kikerülési (Antimalware Scan Interface és Event Tracing for Windows) funkciókkal is rendelkezik

Az IIServerCore a fő komponens, amely egy OutlookEN.aspx nevű web shellből töltődik be, majd teljes egészében a w3wp.exe folyamat memóriájában fut. A modul támogatja a további payloadok és argumentumok fogadását, végrehajtását, valamint a fájlrendszer műveleteit, SQL parancsok futtatását és antivírus kikerülést

Mit tehetnek a szervezetek?

A Phantom Taurus komplex és kitartó fenyegetést jelent, de a megfelelő védelmi intézkedésekkel jelentősen csökkenthető a kockázat.

Sérülékenységek folyamatos javítása: Rendszeresen telepítsük a legújabb biztonsági frissítéseket az Exchange és IIS szervereken, különösen a ProxyLogon és ProxyShell sérülékenységekhez kapcsolódó patcheket

WMI tevékenység monitorozása: Állítsunk be figyelmeztetéseket az olyan gyanús WMI parancsokra, amelyek távoli BAT szkripteket futtatnak vagy SQL szerverekhez kapcsolódnak

Fájl- és folyamat-szintű megfigyelés: Használjunk modern EDR/XDR megoldásokat, amelyek képesek a memóriában futó, fileless malware-ek detektálására és blokkolására

Hálózat szegmentáció és legkisebb jogosultság elve: Korlátozzuk az adminisztratív fiókok használatát, és különítsük el az adatbázis- és alkalmazásszervereket, hogy egy esetleges behatolás ne járhasson az egész hálózat kompromittálásával.

Biztonságtudatosság növelése: Az IT-csapatok számára elengedhetetlen a fenyegetési hírszerzés követése és a legújabb TTP-k megismerése, valamint a belső incidens-válasz folyamatok gyakorlása.

Kapcsolódás a magyar környezethez

Bár a Phantom Taurus jelenleg elsősorban a Közel-Keleten, Afrikában és Ázsiában aktív, a magyar szervezeteknek is érdemes felkészülniük hasonló támadási technikákra. A csoport által alkalmazott módszerek, például a fileless backdoor-ok és az SQL-alapú adatlopás könnyen adaptálhatók más célpontokra. A hazai kormányzati, diplomáciai vagy kritikus infrastruktúra-szolgáltatóknak fokozottan javasolt a kiberbiztonsági auditok elvégzése, a hálózati architektúrák felülvizsgálata, valamint a naplózás és észlelés erősítése. Ezen kívül a harmadik felektől származó szoftverek (például távközlési szolgáltatók) biztonságának ellenőrzése is kulcsfontosságú, hiszen a Phantom Taurus gyakran indirekt csatornákon keresztül jut célba.

Milyen szervezetek a fő célpontok?

A Phantom Taurus elsősorban kormányzati entitásokat, külügyminisztériumokat, nagykövetségeket, katonai és diplomáciai intézményeket, valamint szolgáltató jellegű telekommunikációs cégeket céloz meg. Az ilyen szervezetek birtokolják azt a nem nyilvános információt, amelyet a csoport igyekszik megszerezni.

Hogyan ismerhető fel a NET-STAR jelenléte?

A NET-STAR általában egy OutlookEN.aspx nevű web shellből töltődik be, majd a w3wp.exe folyamatban fut. Szokatlan hálózati kérések, a w3wp.exe memóriahasználatának megugrása, vagy rejtélyes Base64-kódolt POST kérések utalhatnak a fertőzésre. A beépített changeLastModified parancs miatt a kapcsolódó fájlok időbélyegei gyanúsan a jövőbenre mutathatnak.

Miért váltottak az e-mail-exfiltrációról az adatbázis-lopásra?

Az e-mail-fiókokból származó levelek értékes hírszerzési információkkal szolgálnak, de a csoport megfigyelése szerint a strukturált adatbázisokból gyorsabban és célzottabban nyerhetők ki olyan érzékeny adatok (például diplomáciai táviratok vagy védelmi dokumentáció), amelyek értéke magasabb. A mssq.bat szkript dinamikus lekérdezésekkel képes kinyerni konkrét kulcsszavakhoz kötődő adatokat.

Segítünk megelőzni és észlelni

Ha gyanús tevékenységet látsz IIS/Exchange környezetben, vagy célzott támadás jeleit észleled, vedd fel velünk a kapcsolatot. Hálózati audit, IT security üzemeltetés és incidensreagálás szolgáltatásainkkal segítünk zárni a réseket és javítani a detekciót.