近期,法國安全研究者兼 BotConf 和 FastIR創(chuàng)始人Sebastien Larinier繼續(xù)發(fā)布線索,聲稱中國黑客組織Goblin Panda曾針對柬埔寨和韓國發(fā)起了APT攻擊。在這篇文章中,Sebastien披露了Goblin Panda針對柬埔寨APT攻擊中所所使用的惡意文檔。
惡意文檔相關信息
RTF文檔
SHA256: 9d0c4ec62abe79e754eaa2fd7696f98441bc783781d8656065cddfae3dbf503e
攻擊者利用該文檔,可在目標系統(tǒng)中生成一個合法文件。
核心的遠控程序(RAT)
SHA256: 77361b1ca09d6857d68cea052a0bb857e03d776d3e1943897315a80a19f20fc2
dll文件
SHA256: 4a5bf0df9ee222dac87e2f1b38b18660ebb92de8ba3f1cbc845f945a766dd6a6
C2
dll文件會回連域名weather.gbaycruise.com,該域名對應IP為103.193.4.106,它與早前Sebastien發(fā)現(xiàn)的中國黑客組織針對越南政府APT攻擊的另一使用IP地址103.193.4.115,有多處網(wǎng)絡架構重合。
另外有意思的是,對柬對越攻擊中用到的所有域名都是通過注冊機構NAMECHEAP INC注冊的,并且使用的是同一個域名服務器,同時,其中一個SHA256為0e32ce9e0c309859fd0d1193f54cad0dde7928053795892a0f6c8c96cbf6753d的dll文件,還會回連域名baoin.baotintu.com。
Sebastien認為,綜合7月份FireEye發(fā)布的報告來看,他判斷這個惡意文檔是Goblin Panda用來攻擊柬埔寨政府的。
FireEye曾經(jīng)披露的報告要素
今年7月,F(xiàn)ireEye披露調(diào)查線索,懷疑中國黑客組織TEMP.Periscope在柬埔寨大選前,意圖入侵柬埔寨政府獲取柬埔寨大選相關信息。FireEye的調(diào)查要點如下:
攻擊者用 chemscalere[.]com 和 scsnewstoday[.]com兩個域名作為C2回連域名,并在上面架設了網(wǎng)頁服務;另外,還利用第三個域名 mlcdailynews[.]com作為用途為SCANBOX的網(wǎng)站服務;攻擊者利用的C2域名服務器中留下了一些日志記錄和用到的惡意軟件。
FireEye通過反入侵以上三個服務器,獲取了其中的日志和其它相關信息,得出以下初步結(jié)論:
攻擊者從隸屬中國海南的某個IP地址遠程登錄和控制以上服務器,針對目標系統(tǒng)的惡意軟件植入、命令控制和數(shù)據(jù)獲取進行掌控;
攻擊者的入侵已經(jīng)成功滲透到柬埔寨相關的教育、航空、化工、國防、政府、海事和科技等領域的多個部門;
FireEye經(jīng)過識別,已經(jīng)通知了所有的受害者單位;
攻擊者在入侵中還使用了新系列的惡意軟件:DADBOD 和 EVILTECH,之前被識別的惡意軟件系列為AIRBREAK、EVILTECH、HOMEFRY、MURKYTOP、HTRAN和SCANBOX。
FireEye通過C2服務器上的命令控制記錄,還得到了一些針對7月底柬埔寨大選進行網(wǎng)絡攻擊的線索:
FireEye發(fā)現(xiàn)了一封針對柬埔寨反對派人士的釣魚郵件;
FireEye發(fā)現(xiàn)多個柬埔寨政府實體受到攻擊,包括柬埔寨的國家選舉委員會、內(nèi)政部、外交和國際合作部、柬埔寨參議院、經(jīng)濟和財政部;
FireEye發(fā)現(xiàn)柬埔寨國家救援黨多個議員、人權和民主倡導人士和兩名柬埔寨海外外交官成為攻擊者目標;
FireEye發(fā)現(xiàn)多個柬埔寨媒體機構成為攻擊者目標。
其它發(fā)現(xiàn)
Sebastien Larinier綜合FireEye的上述報告,他自己又發(fā)現(xiàn)了一個與此攻擊相關的新的惡意文檔,c0b8d15cd0f3f3c5a40ba2e9780f0dd1db526233b40a449826b6a7c92d31f8d9,該惡意文檔回連的IP地址為103.243.175.181,該IP地址還可關聯(lián)到另一域名update.wsmcoff.com,其對應的IP地址為185.174.173.157,最終,IP地址185.174.173.157會與FireEye報告中的C2服務器chemscalere.com發(fā)生關聯(lián)行為。
因此,綜合以上發(fā)現(xiàn),Sebastien Larinier認為,update.wsmcoff.com也是TEMP.Periscope使用的網(wǎng)絡攻擊架構之一,Goblin Panda和TEMP.Periscope都曾對柬埔寨政府發(fā)起網(wǎng)絡攻擊,它們兩個組織之間有著多個相同的技術能力特點。
| 
