Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Un nuovo cluster di minacce identificato tracciato come Khmer Shadow sta conducendo operazioni orientate allo spionaggio contro organizzazioni governative cambogiane, in particolare nei settori della difesa e delle opere pubbliche. Gli aggressori utilizzano un loader personalizzato in C++ chiamato NIGHTFORGE per caricare un payload Havoc Demon direttamente nella memoria. La campagna impiega anche metodi avanzati di evasione, inclusa la rimozione del hooking di NTDLL e la risoluzione delle syscall Hell’s Gate, per ridurre la visibilità ed eludere i controlli di sicurezza.
Indagine
Acronis TRU ha scoperto due campagne separate che utilizzavano archivi autoestraenti a tema incontro come metodo iniziale di consegna. Gli analisti hanno esaminato il loader NIGHTFORGE e documentato la sua capacità di risolvere le syscall in modo dinamico e rimuovere il hook di NTDLL per nascondere l’attività dannosa. L’indagine ha anche collegato diversi ambienti di comando e controllo esaminando le impronte digitali JARM condivise e i certificati di origine Cloudflare riutilizzati.
Mitigazione
Le organizzazioni dovrebbero implementare un monitoraggio rigoroso per comportamenti sospetti di DLL sideloading, soprattutto quando sono coinvolte binari firmate legittimamente come VMwareNamespaceCmd.exe . I difensori dovrebbero anche monitorare la creazione non autorizzata di attività pianificate e processi figlio insoliti, inclusi gpupdate.exe, lanciati da processi genitori inaspettati. La protezione degli endpoint in grado di rilevare l’attività delle syscall dirette e i payload residenti in memoria può ulteriormente migliorare la copertura.
Risposta
Se viene rilevata un’attività Khmer Shadow, i sistemi compromessi dovrebbero essere isolati immediatamente per interrompere ulteriori comunicazioni di comando e controllo. Gli investigatori dovrebbero eseguire un’analisi forense della directory %LOCALAPPDATA% per identificare eventuali artefatti persistenti relativi a VMwareNamespace. I registri di rete dovrebbero essere esaminati per il traffico HTTPS in uscita verso i domini noti di comando e controllo, e le credenziali utilizzate sui sistemi compromessi dovrebbero essere reimpostate.
"graph TB %% Class Definitions Section classDef action fill:#99ccff classDef malware fill:#ff9999 classDef tool fill:#cccccc classDef process fill:#ccffcc classDef network fill:#ffff99 %% Node Definitions action_phishing["<b>Action</b> – <b id='T1566.001'>T1566.001 Allegato Spearphishing</b><br/><b>Descrizione</b>: Invio di allegati dannosi tramite email.<br/><b>File</b>: Contact_Letter_To_Ms_Pech_ICB_Cambodia_On_Collaboration.pdf.exe"] class action_phishing action proc_sideload["<b id='T1218'>T1218 Esecuzione Proxy Binario di Sistema</b><br/><b>Descrizione</b>: Utilizzo di binari legittimi per eseguire codice dannoso.<br/><b>Binario</b>: VMwareNamespaceCmd.exe<br/><b>DLL Caricata</b>: vmtools.dll"] class proc_sideload process malware_nightforge["<b id='NIGHTFORGE'>Malware</b>: Loader NIGHTFORGE<br/><b>Azione</b> – <b id='T1140'>T1140 Deoffuscazione/Decodifica di File o Informazioni</b><br/><b>Descrizione</b>: Utilizzo di decifratura XOR personalizzata per decodificare lo shellcode.<br/><b>Azione</b> – <b id='T1027.007'>T1027.007 Risoluzione Dinamica API</b><br/><b>Descrizione</b>: Eludere il rilevamento EDR utilizzando la risoluzione delle syscall Hell's Gate."] class malware_nightforge malware action_persistence["<b id='T1137'>T1137 Avvio Applicazioni Office</b><br/><b>Descrizione</b>: Utilizzo delle API COM per garantire la persistenza.<br/><b>Meccanismo</b>: Attività pianificata registrata chiamata VMwareNamespace<br/><b>Frequenza</b>: Si ripete ogni 10 minuti."] class action_persistence action tool_kaynldr["<b id='KaynLdr'>Strumento</b>: KaynLdr<br/><b>Azione</b> – <b id='T1620'>T1620 Caricamento Riflettente di Codice</b><br/><b>Descrizione</b>: Caricamento riflettente dello stadio finale in memoria."] class tool_kaynldr tool malware_havoc["<b id='Havoc'>Malware</b>: Impianto Havoc Demon<br/><b>Descrizione</b>: Impianto di fase finale in esecuzione in memoria."] class malware_havoc malware action_c2["<b id='T1102.002'>T1102.002 Servizio Web: Comunicazione Bidirezionale</b><br/><b>Descrizione</b>: Stabilire il Comando e Controllo tramite HTTPS POST.<br/><b>URL C2</b>: www[.]sharingfile[.]cloud<br/><b>Evasione</b>: Imita il traffico standard del browser Chrome."] class action_c2 network %% Connections Section %% Phishing leads to binary proxy execution action_phishing –>|leads_to| proc_sideload %% Proxy execution loads the NIGHTFORGE loader proc_sideload –>|executes| malware_nightforge %% NIGHTFORGE establishes persistence malware_nightforge –>|establishes| action_persistence %% NIGHTFORGE uses KaynLdr for reflective loading malware_nightforge –>|uses| tool_kaynldr %% KaynLdr injects Havoc Demon tool_kaynldr –>|injects| malware_havoc %% Havoc Demon communicates via C2 malware_havoc –>|establishes C2 via| action_c2 "
Flusso di Attacco
Rilevazioni
Possibile Doppia Estensione di File Dannoso (tramite creazione_processi)
Visualizza
Possibile Tentativo di Caricamento Dinamico di Libreria Vmtools (tramite caricamento_immagine)
Visualizza
Comando e Controllo Sospetto tramite Richiesta DNS di Dominio di Livello Superiore (TLD) Inusuale (tramite dns)
Visualizza
IOC (HashSha256) per rilevare: Dietro Khmer Shadow: Spionaggio mirato contro enti governativi cambogiani
Visualizza
IOC (SourceIP) per rilevare: Dietro Khmer Shadow: Spionaggio mirato contro enti governativi cambogiani
Visualizza
IOC (DestinationIP) per rilevare: Dietro Khmer Shadow: Spionaggio mirato contro enti governativi cambogiani
Visualizza
Rilevamento di Attività del Dominio C2 Khmer Shadow [Connessione di Rete Windows]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo Pre-volo del Telemetria & Baseline deve essere superato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare l’esatta telemetria prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnostici errati.
-
Narrazione dell’Attacco & Comandi: Un avversario ha distribuito con successo un impianto Havoc Demon su una workstation all’interno della rete target. Per stabilire Comando e Controllo (C2) ed eludere le difese perimetrali di base, l’impianto è configurato per comunicare con un insieme specifico di domini identificati nella recente intelligence sulle minacce relative all’attività Khmer Shadow. L’impianto inizierà una richiesta HTTP GET a
sharingfile.cloudper segnalare la sua presenza e attendere ulteriori istruzioni. Questa azione è progettata per generare un log proxy contenente la stringa di dominio sospetta. -
Script di Test di Regressione:
# Script di simulazione per attivare la regola di rilevamento del C2 Khmer Shadow # Questo imita un check-in C2 tramite una richiesta HTTP a un dominio sospetto. $C2_Domain = "http://sharingfile.cloud/api/v1/checkin" $UserAgent = "Havoc-Demon-Implant-v1.0" Write-Host "[!] Iniziando la comunicazione simulata C2 a: $C2_Domain" -ForegroundColor Red try { # Usando Invoke-WebRequest per simulare l'attività di rete # Viene utilizzato un User-Agent personalizzato per imitare una firma di strumento specifica $response = Invoke-WebRequest -Uri $C2_Domain -UserAgent $UserAgent -Method Get -ErrorAction SilentlyContinue Write-Host "[+] Richiesta inviata con successo (Nota: il fallimento è previsto se il dominio è dirottato/offline)." -ForegroundColor Green } catch { Write-Host "[+] Tentativo di richiesta. Controllare i log proxy per il tentativo di connessione al dominio sospetto." -ForegroundColor Yellow } -
Comandi di Pulizia:
# Nessuna modifica persistente effettuata da questa simulazione. # Pulizia della cronologia dei comandi per rimuovere le tracce della simulazione. Clear-History Write-Host "[+] Pulizia completata." -ForegroundColor Green