國外安全研究者爆料中國黑客組織針對柬埔寨發起的APT攻擊惡意文件
近期,法國安全研究者兼 BotConf 和 FastIR創始人Sebastien Larinier繼續釋出線索,聲稱中國黑客組織Goblin Panda曾針對柬埔寨和韓國發起了APT攻擊。在這篇文章中,Sebastien披露了Goblin Panda針對柬埔寨APT攻擊中所所使用的惡意文件。
惡意文件相關資訊
RTF文件
SHA256: 9d0c4ec62abe79e754eaa2fd7696f98441bc783781d8656065cddfae3dbf503e
攻擊者利用該文件,可在目標系統中生成一個合法檔案。
核心的遠控程式(RAT)
SHA256: 77361b1ca09d6857d68cea052a0bb857e03d776d3e1943897315a80a19f20fc2
dll檔案
SHA256: 4a5bf0df9ee222dac87e2f1b38b18660ebb92de8ba3f1cbc845f945a766dd6a6
C2
dll檔案會回連域名weather.gbaycruise.com,該域名對應IP為103.193.4.106,它與早前Sebastien發現的中國黑客組織針對越南政府APT攻擊的另一使用IP地址103.193.4.115,有多處網路架構重合。
另外有意思的是,對柬對越攻擊中用到的所有域名都是通過註冊機構NAMECHEAP INC註冊的,並且使用的是同一個域名伺服器,同時,其中一個SHA256為0e32ce9e0c309859fd0d1193f54cad0dde7928053795892a0f6c8c96cbf6753d的dll檔案,還會回連域名baoin.baotintu.com。
Sebastien認為,綜合7月份FireEye釋出的報告來看,他判斷這個惡意文件是Goblin Panda用來攻擊柬埔寨政府的。
FireEye曾經披露的報告要素
今年7月,FireEye披露調查線索,懷疑中國黑客組織TEMP.Periscope在柬埔寨大選前,意圖入侵柬埔寨政府獲取柬埔寨大選相關資訊。FireEye的調查要點如下:
攻擊者用 chemscalere[.]com 和 scsnewstoday[.]com兩個域名作為C2回連域名,並在上面架設了網頁服務;另外,還利用第三個域名 mlcdailynews[.]com作為用途為SCANBOX的網站服務;攻擊者利用的C2域名伺服器中留下了一些日誌記錄和用到的惡意軟體。
FireEye通過反入侵以上三個伺服器,獲取了其中的日誌和其它相關資訊,得出以下初步結論:
攻擊者從隸屬中國海南的某個IP地址遠端登入和控制以上伺服器,針對目標系統的惡意軟體植入、命令控制和資料獲取進行掌控;
攻擊者的入侵已經成功滲透到柬埔寨相關的教育、航空、化工、國防、政府、海事和科技等領域的多個部門;
FireEye經過識別,已經通知了所有的受害者單位;
攻擊者在入侵中還使用了新系列的惡意軟體:DADBOD 和 EVILTECH,之前被識別的惡意軟體系列為AIRBREAK、EVILTECH、HOMEFRY、MURKYTOP、HTRAN和SCANBOX。
FireEye通過C2伺服器上的命令控制記錄,還得到了一些針對7月底柬埔寨大選進行網路攻擊的線索:
FireEye發現了一封針對柬埔寨反對派人士的釣魚郵件; FireEye發現多個柬埔寨政府實體受到攻擊,包括柬埔寨的國家選舉委員會、內政部、外交和國際合作部、柬埔寨參議院、經濟和財政部; FireEye發現柬埔寨國家救援黨多個議員、人權和民主倡導人士和兩名柬埔寨海外外交官成為攻擊者目標; FireEye發現多個柬埔寨媒體機構成為攻擊者目標。
其它發現
Sebastien Larinier綜合FireEye的上述報告,他自己又發現了一個與此攻擊相關的新的惡意文件,c0b8d15cd0f3f3c5a40ba2e9780f0dd1db526233b40a449826b6a7c92d31f8d9,該惡意文件回連的IP地址為103.243.175.181,該IP地址還可關聯到另一域名update.wsmcoff.com,其對應的IP地址為185.174.173.157,最終,IP地址185.174.173.157會與FireEye報告中的C2伺服器chemscalere.com發生關聯行為。
因此,綜合以上發現,Sebastien Larinier認為,update.wsmcoff.com也是TEMP.Periscope使用的網路攻擊架構之一,Goblin Panda和TEMP.Periscope都曾對柬埔寨政府發起網路攻擊,它們兩個組織之間有著多個相同的技術能力特點。