国外安全研究者爆料中国黑客组织针对柬埔寨发起的APT攻击恶意文档

别的故意思的是,对柬对越进击顶用到的所有域名都是经由过程注册机构NAMECHEAP INC注册的,并且应用的是同一个域名办事器,同时,此中一个SHA256为0e32ce9e0c309859fd0d1193f54cad0dde7928053795892a0f6c8c96cbf6753d的dll文件,还会回连域名baoin.baotintu.com

近期,法国安然钻研者兼 BotConf 和 FastIR开创人Sebastien Larinier继承宣布线索,声称中国黑客组织Goblin Panda曾针对柬埔寨和韩国提议了APT进击在这篇文章中,Sebastien表露了Goblin Panda针对柬埔寨APT进击中所所应用的恶意文档

恶意文档相关信息

RTF文档

SHA256: 9d0c4ec62abe79e754eaa2fd7696f98441bc783781d8656065cddfae3dbf503e

进击者使用该文档,可在目标系统中天生一个合法文件

核心的远控法度榜样(RAT)

SHA256: 77361b1ca09d6857d68cea052a0bb857e03d776d3e1943897315a80a19f20fc2

dll文件

SHA256: 4a5bf0df9ee222dac87e2f1b38b18660ebb92de8ba3f1cbc845f945a766dd6a6

C2

dll文件会回连域名weather.gbaycruise.com,该域名对应IP为103.193.4.106,它与早前Sebastien发明的中国黑客组织针对越南政府APT进击的另一应用IP地址103.193.4.115,有多处收集架构重合

Sebastien觉得,综合7月份FireEye宣布的申报来看,他判断这个恶意文档是Goblin Panda用来进击柬埔寨政府的

FireEye曾经表露的申报要素

今年7月,FireEye表露查询造访线索,狐疑中国黑客组织TEMP.Periscope在柬埔寨大年夜选前,意图入侵柬埔寨政府获取柬埔寨大年夜选相关信息FireEye的查询造访要点如下:

进击者用 chemscalere[.]com 和 scsnewstoday[.]com两个域名作为C2回连域名,并在上面架设了网页办事;别的,还使用第三个域名 mlcdailynews[.]com作为用途为SCANBOX的网站办事;进击者使用的C2域名办事器中留下了一些日志记录和用到的恶意软件

FireEye经由过程反入侵以上三个办事器,获取了此中的日志和其它相关信息,得出以下初步结论:

进击者从附属中国海南的某个IP地址远程登录和节制以上办事器,针对目标系统的恶意软件植入、敕令节制和数据获取进行掌控;

进击者的入侵已经成功渗透到柬埔寨相关的教导、航空、化工、国防、政府、海事和科技等领域的多个部门;

FireEye颠末识别,已经看护了所有的受害者单位;

进击者在入侵中还应用了新系列的恶意软件:DADBOD 和 EVILTECH,之前被识别的恶意软件系列为AIRBREAK、EVILTECH、HOMEFRY、MURKYTOP、HTRAN和SCANBOX

FireEye经由过程C2办事器上的敕令节制记录,还获得了一些针对7月尾柬埔寨大年夜选进行收集进击的线索:

FireEye发清楚明了一封针对柬埔寨否决派人士的钓鱼邮件;

FireEye发明多个柬埔寨政府实体受到进击,包括柬埔寨的国家选举委员会、内政部、外交和国际相助部、柬埔寨参议院、经济和财政部;

FireEye发明柬埔寨国家救援党多个议员、人权和夷易近主倡导人士和两名柬埔寨海交际际官成为进击者目标;

FireEye发明多个柬埔寨媒体机构成为进击者目标

其它发明

Sebastien Larinier综合FireEye的上述申报,他自己又发清楚明了一个与此进击相关的新的恶意文档,c0b8d15cd0f3f3c5a40ba2e9780f0dd1db526233b40a449826b6a7c92d31f8d9,该恶意文档回连的IP地址为103.243.175.181,该IP地址还可关联到另一域名update.wsmcoff.com,其对应的IP地址为185.174.173.157,终极,IP地址185.174.173.157会与FireEye申报中的C2办事器chemscalere.com发生关联行径

是以,综合以上发明,Sebastien Larinier觉得,update.wsmcoff.com也是TEMP.Periscope应用的收集进击架构之一,Goblin Panda和TEMP.Periscope都曾对柬埔寨政府提议收集进击,它们两个组织之间有着多个相同的技巧能力特征

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包