Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Нещодавно виявлений кластер загроз, відстежуваний як Khmer Shadow, проводить операції з орієнтацією на шпигунство проти камбоджійських урядових організацій, зокрема в оборонній сфері та сфері громадських робіт. Нападники використовують спеціальне C++ завантажувальне середовище під назвою NIGHTFORGE для бічного завантаження завантажувача Havoc Demon безпосередньо в пам’ять. Кампанія також використовує передові методи ухилення, включаючи зняття з гачка NTDLL та вирішення системних викликів Hell’s Gate для зменшення видимості та обходу систем безпеки.
Розслідування
Компанія Acronis TRU виявила дві окремі кампанії, які використовували архіви з темою зустрічей для саморозпаковування як початковий метод доставки. Аналітики дослідили завантажувальник NIGHTFORGE і задокументували його здатність динамічно вирішувати системні виклики й знімати з гачка NTDLL для приховування шкідливої активності. Розслідування також пов’язало кілька середовищ командування та контролю, спираючись на спільні відбитки JARM і повторно використовувані сертифікати Cloudflare Origin.
Пом’якшення
Організації повинні впроваджувати сильний моніторинг підозрілої поведінки бічного завантаження DLL, особливо коли задіяні легітимні підписані бінарні файли, такі як VMwareNamespaceCmd.exe . Захисники повинні також стежити за несанкціонованим створенням запланованих завдань і незвичними дочірніми процесами, включаючи gpupdate.exe, які запускаються несподіваними батьківськими процесами. Засоби захисту кінцевих точок, здатні виявляти безпосередню активність системних викликів і завантажувачі, що знаходяться в пам’яті, можуть підвищити покриття.
Відповідь
Якщо виявлено діяльність Khmer Shadow, уражені системи слід негайно ізолювати, щоб перервати подальший зв’язок командування та контролю. Дослідники повинні провести судово-медичний аналіз каталогу %LOCALAPPDATA% для ідентифікації будь-яких постійних артефактів, пов’язаних із VMwareNamespace. Журнали мережі також слід перевірити для вихідного HTTPS-трафіку до відомих доменів командування та контролю, а облікові дані, що використовуються на скомпрометованих системах, повинні бути скинуті.
"graph TB %% Class Definitions Section classDef action fill:#99ccff classDef malware fill:#ff9999 classDef tool fill:#cccccc classDef process fill:#ccffcc classDef network fill:#ffff99 %% Node Definitions action_phishing["<b>Action</b> – <b id='T1566.001'>T1566.001 Фішинг з вкладеннями</b><br/><b>Опис</b>: Надсилання шкідливих вкладень електронною поштою.<br/><b>Файл</b>: Contact_Letter_To_Ms_Pech_ICB_Cambodia_On_Collaboration.pdf.exe"] class action_phishing action proc_sideload["<b id='T1218'>T1218 Системна проксі-виконання бінарних файлів</b><br/><b>Опис</b>: Використання легітимних бінарних файлів для виконання шкідливого коду.<br/><b>Бінарний файл</b>: VMwareNamespaceCmd.exe<br/><b>Бічне завантаження DLL</b>: vmtools.dll"] class proc_sideload process malware_nightforge["<b id='NIGHTFORGE'>Шкідливе ПЗ</b>: Завантажувач NIGHTFORGE<br/><b>Дія</b> – <b id='T1140'>T1140 Деобфускація/Декодування файлів або інформації</b><br/><b>Опис</b>: Використання спеціального XOR-декодування для декодування shellcode.<br/><b>Дія</b> – <b id='T1027.007'>T1027.007 Динамічне вирішення API</b><br/><b>Опис</b>: Обхід EDR з використанням вирішення системних викликів Hell's Gate."] class malware_nightforge malware action_persistence["<b id='T1137'>T1137 Запуск офісних застосунків</b><br/><b>Опис</b>: Використання COM API для забезпечення стійкості.<br/><b>Механізм</b>: Зареєстроване заплановане завдання під назвою VMwareNamespace<br/><b>Частота</b>: Повторюється кожні 10 хвилин."] class action_persistence action tool_kaynldr["<b id='KaynLdr'>Інструмент</b>: KaynLdr<br/><b>Дія</b> – <b id='T1620'>T1620 Рефлексивне завантаження коду</b><br/><b>Опис</b>: Рефлексивне завантаження кінцевої стадії у пам’ять."] class tool_kaynldr tool malware_havoc["<b id='Havoc'>Шкідливе ПЗ</b>: Впровадження Havoc Demon<br/><b>Опис</b>: Виконання кінцевої стадії у пам’яті."] class malware_havoc malware action_c2["<b id='T1102.002'>T1102.002 Веб-служба: Двосторонній зв’язок</b><br/><b>Опис</b>: Встановлення командування та контролю через HTTPS POST.<br/><b>C2 URL</b>: www[.]sharingfile[.]cloud<br/><b>Ухилення</b>: Імітує стандартний трафік браузера Chrome."] class action_c2 network %% Connections Section %% Фішинг веде до виконання бінарного проксі-коду action_phishing –>|веде до| proc_sideload %% Проксі виконання завантажує завантажувач NIGHTFORGE proc_sideload –>|виконує| malware_nightforge %% NIGHTFORGE встановлює стійкість malware_nightforge –>|встановлює| action_persistence %% NIGHTFORGE використовує KaynLdr для рефлексивного завантаження malware_nightforge –>|використовує| tool_kaynldr %% KaynLdr ін'єктує Havoc Demon tool_kaynldr –>|ін’єктує| malware_havoc %% Havoc Demon встановлює зв’язок через C2 malware_havoc –>|встановлює C2 через| action_c2 "
Потік атаки
Виявлення
Можливе шкідливе подвійне розширення файлу (через створення процесу)
Переглянути
Можлива спроба бічного завантаження бібліотеки Vmtools (через завантаження зображення)
Переглянути
Підозріла команда та контроль за неправильною верхньорівневою доменною DNS-запитом (через dns)
Переглянути
Індикатори компрометації (HashSha256) для виявлення: За Khmer Shadow: Цілеспрямоване шпигунство проти камбоджійських урядових структур
Переглянути
Індикатори компрометації (SourceIP) для виявлення: За Khmer Shadow: Цілеспрямоване шпигунство проти камбоджійських урядових структур
Переглянути
Індикатори компрометації (DestinationIP) для виявлення: За Khmer Shadow: Цілеспрямоване шпигунство проти камбоджійських урядових структур
Переглянути
Виявлення діяльності домена C2 Khmer Shadow [мережеве з’єднання Windows]
Переглянути
Виконання моделювання
Передумова: Перевірка телеметрії та базових показників повинна була пройти.
Причина: У цьому розділі детально описано точне виконання техніки супротивника (TTP), призначеної для спрацьовування правила виявлення. Команди та наратив повинні безпосередньо відображати ідентифіковані TTP та націлені на генерацію точного телеметрії, очікуваної логікою виявлення. Абстрактні або нерелевантні приклади призведуть до неправильної діагностики.
-
Опис атаки та команди: Супротивник успішно розгорнув інструмент впровадження Havoc Demon на робочій станції в межах цільової мережі. Щоб встановити командування й контроль (C2) і уникнути базових захисних периметрів, інструмент налаштований для спілкування з певним набором доменів, зазначених у останній розвідці загроз щодо активності Khmer Shadow. Інструмент ініціює запит HTTP GET до
sharingfile.cloudщоб підтвердити свою присутність і дочекатися подальших інструкцій. Ця дія призначена для створення запису проксирування, що містить підозрілий рядок домену. -
Скрипт регресійного тестування:
# Скрипт моделювання для спрацьовування правила виявлення C2 Khmer Shadow # Це імітує перевірку C2 через HTTP-запит до підозрілого домену. $C2_Domain = "http://sharingfile.cloud/api/v1/checkin" $UserAgent = "Havoc-Demon-Implant-v1.0" Write-Host "[!] Запускається імітоване спілкування C2 до: $C2_Domain" -ForegroundColor Red try { # Використання Invoke-WebRequest для імітації мережевої активності # Використовується спеціальний User-Agent для імітації специфічного підпису інструменту $response = Invoke-WebRequest -Uri $C2_Domain -UserAgent $UserAgent -Method Get -ErrorAction SilentlyContinue Write-Host "[+] Запит успішно надіслано (заувага: очікується невдача, якщо домен вилучено/вимкнено)." -ForegroundColor Green } catch { Write-Host "[+] Спроба запиту. Перевірте журнали проксі для спроби підключення до підозрілого домену." -ForegroundColor Yellow } -
Команди очищення:
# Під час цього моделювання не було внесено жодних постійних змін. # Очищення історії команд для видалення слідів моделювання. Clear-History Write-Host "[+] Очистка завершена." -ForegroundColor Green