Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Uma cluster de ameaça recém-identificada, rastreada como Khmer Shadow, está realizando operações de espionagem contra organizações do governo cambojano, particularmente nos setores de defesa e obras públicas. Os invasores utilizam um carregador em C++ personalizado chamado NIGHTFORGE para carregar uma carga útil de Havoc Demon diretamente na memória. A campanha também emprega métodos avançados de evasão, incluindo desvinculação de NTDLL e resolução de syscall do Hell’s Gate, para reduzir a visibilidade e contornar os controles de segurança.
Investigação
A Acronis TRU descobriu duas campanhas separadas que usaram arquivos autoextraíveis com tema de reuniões como o método inicial de entrega. Os analistas examinaram o carregador NIGHTFORGE e documentaram sua capacidade de resolver syscalls dinamicamente e desvincular NTDLL a fim de ocultar atividades maliciosas. A investigação também conectou vários ambientes de comando e controle, pivotando em impressões digitais JARM compartilhadas e certificados de origem Cloudflare reutilizados.
Mitigação
As organizações devem implementar uma forte monitoração para comportamentos suspeitos de carregamento de DLL, especialmente quando binários assinados legítimos como VMwareNamespaceCmd.exe estão envolvidos. Os defensores também devem observar a criação não autorizada de tarefas agendadas e processos filhos incomuns, incluindo gpupdate.exe, sendo iniciados por processos pais inesperados. Proteções de endpoint capazes de detectar atividade direta de syscall e cargas úteis residentes na memória podem melhorar ainda mais a cobertura.
Resposta
Se a atividade do Khmer Shadow for detectada, os sistemas afetados devem ser isolados imediatamente para interromper a comunicação de comando e controle adicional. Os investigadores devem realizar uma análise forense do diretório %LOCALAPPDATA% para identificar quaisquer artefatos persistentes relacionados à VMwareNamespace. Os logs de rede também devem ser revisados quanto a tráfego HTTPS de saída para os domínios de comando e controle conhecidos, e as credenciais utilizadas em sistemas comprometidos devem ser redefinidas.
"graph TB %% Class Definitions Section classDef action fill:#99ccff classDef malware fill:#ff9999 classDef tool fill:#cccccc classDef process fill:#ccffcc classDef network fill:#ffff99 %% Node Definitions action_phishing["<b>Ação</b> – <b id='T1566.001'>T1566.001 Anexo de Spearphishing</b><br/><b>Descrição</b>: Entrega de anexos maliciosos por e-mail.<br/><b>Arquivo</b>: Contact_Letter_To_Ms_Pech_ICB_Cambodia_On_Collaboration.pdf.exe"] class action_phishing action proc_sideload["<b id='T1218'>Execução de Proxy de Binário do Sistema T1218</b><br/><b>Descrição</b>: Uso de binários legítimos para executar código malicioso.<br/><b>Binário</b>: VMwareNamespaceCmd.exe<br/><b>DLL Carregado</b>: vmtools.dll"] class proc_sideload process malware_nightforge["<b id='NIGHTFORGE'>Malware</b>: Carregador NIGHTFORGE<br/><b>Ação</b> – <b id='T1140'>T1140 Desofuscar/Decodificar Arquivos ou Informações</b><br/><b>Descrição</b>: Uso de descriptografia XOR personalizada para decodificar shellcode.<br/><b>Ação</b> – <b id='T1027.007'>T1027.007 Resolução de API Dinâmica</b><br/><b>Descrição</b>: Contornando EDR usando resolução de syscall do Hell’s Gate."] class malware_nightforge malware action_persistence["<b id='T1137'>T1137 Inicialização de Aplicativo do Office</b><br/><b>Descrição</b>: Uso de APIs COM para assegurar persistência.<br/><b>Mecanismo</b>: Tarefa agendada registrada nomeada VMwareNamespace<br/><b>Frequência</b>: Repetido a cada 10 minutos."] class action_persistence action tool_kaynldr["<b id='KaynLdr'>Ferramenta</b>: KaynLdr<br/><b>Ação</b> – <b id='T1620'>T1620 Carregamento de Código Reflexivo</b><br/><b>Descrição</b>: Carregando reflexivamente a etapa final na memória."] class tool_kaynldr tool malware_havoc["<b id='Havoc'>Malware</b>: Implante Havoc Demon<br/><b>Descrição</b>: Implante de etapa final rodando na memória."] class malware_havoc malware action_c2["<b id='T1102.002'>T1102.002 Serviço Web: Comunicação Bidirecional</b><br/><b>Descrição</b>: Estabelecendo Comando e Controle via HTTPS POST.<br/><b>URL de C2</b>: www[.]sharingfile[.]cloud<br/><b>Evasão</b>: Imita o tráfego padrão do navegador Chrome."] class action_c2 network %% Connections Section %% Phishing leads to binary proxy execution action_phishing –>|leads_to| proc_sideload %% Proxy execution loads the NIGHTFORGE loader proc_sideload –>|executes| malware_nightforge %% NIGHTFORGE establishes persistence malware_nightforge –>|establishes| action_persistence %% NIGHTFORGE uses KaynLdr for reflective loading malware_nightforge –>|uses| tool_kaynldr %% KaynLdr injects Havoc Demon tool_kaynldr –>|injects| malware_havoc %% Havoc Demon communicates via C2 malware_havoc –>|establishes C2 via| action_c2 "
Fluxo de Ataque
Detecções
Possível Arquivo Malicioso com Extensão Dupla (via criação de processo)
Ver
Possível Tentativa de Carregamento Dinâmico de Biblioteca Vmtools (via carregamento de imagem)
Ver
Comando e Controle Suspeito por Solicitação DNS de Domínio de Nível Superior Incomum (via dns)
Ver
IOCs (HashSha256) para detectar: Por trás do Khmer Shadow: Espionagem direcionada contra entidades governamentais cambojanas
Ver
IOCs (SourceIP) para detectar: Por trás do Khmer Shadow: Espionagem direcionada contra entidades governamentais cambojanas
Ver
IOCs (DestinationIP) para detectar: Por trás do Khmer Shadow: Espionagem direcionada contra entidades governamentais cambojanas
Ver
Detecção de Atividade de Domínio C2 Khmer Shadow [Conexão de Rede Windows]
Ver
Execução de Simulação
Pré-requisito: A Verificação de Pré-voo de Telemetria e Linha de Base deve ter sido aprovada.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) planejada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa e Comandos do Ataque: Um adversário implantou com sucesso um implante Havoc Demon em uma estação de trabalho dentro da rede alvo. Para estabelecer Comando e Controle (C2) e evitar as defesas de perímetro básicas, o implante é configurado para se comunicar com um conjunto específico de domínios identificados em recentes informações de ameaça sobre a atividade Khmer Shadow. O implante iniciará uma requisição HTTP GET para
sharingfile.cloudpara sinalizar sua presença e aguardar instruções adicionais. Esta ação é projetada para gerar uma entrada de registro de proxy contendo a string de domínio suspeito. -
Script de Teste de Regressão:
# Script de simulação para acionar a regra de detecção do C2 Khmer Shadow # Isso imita um check-in de C2 via uma solicitação HTTP para um domínio suspeito. $C2_Domain = "http://sharingfile.cloud/api/v1/checkin" $UserAgent = "Havoc-Demon-Implant-v1.0" Write-Host "[!] Iniciando comunicação simulada com C2 para: $C2_Domain" -ForegroundColor Red try { # Usando Invoke-WebRequest para simular a atividade de rede # Um User-Agent personalizado é usado para imitar uma assinatura de ferramenta específica $response = Invoke-WebRequest -Uri $C2_Domain -UserAgent $UserAgent -Method Get -ErrorAction SilentlyContinue Write-Host "[+] Solicitação enviada com sucesso (Nota: Falha é esperada se o domínio for sinkado/desligado)." -ForegroundColor Green } catch { Write-Host "[+] Solicitação tentada. Verifique os logs de proxy para tentativa de conexão com o domínio suspeito." -ForegroundColor Yellow } -
Comandos de Limpeza:
# Nenhuma mudança persistente feita por esta simulação. # Limpando o histórico de comandos para remover vestígios da simulação. Clear-History Write-Host "[+] Limpeza completa." -ForegroundColor Green