APT组织Sharp Panda瞄准东南亚的政府实体

APT组织Sharp Panda以Soul模块化框架瞄准东南亚知名政府实体。

CheckPoint研究人员在2022年底观察到，与中国有联系的APT组织Sharp Panda发起了一场针对东南亚知名政府实体的活动。

国家资助的黑客使用了新版本的SoulSearcher加载器，最终加载了新版本的Soul模块化框架。 

研究人员指出，这是Soul恶意软件框架首次被归因于已知的恶意活动集群，尽管它之前曾用于针对东南亚国防、医疗保健和ICT行业的攻击。研究人员不能排除Soul框架被该地区的多个威胁参与者利用。

“Sharp Panda的工具和TTP（战术、技术和程序）与之前提到的东南亚攻击之间的联系可能是中国APT行动固有的关键特征的另一个例子，例如在团体之间共享自定义工具或任务专业化，当一个实体负责最初的感染而另一个实体执行实际的情报收集时。”

CheckPoint研究人员于2021年初首次发现Sharp Pands的活动，当时该APT组织正针对东南亚政府实体进行鱼叉式网络钓鱼攻击。

攻击者使用带有政府主题诱饵的Word文档，该诱饵依赖远程模板下载并运行恶意RTF文档，并使用臭名昭著的RoyalRoad工具包作为武器。

在目标系统中站稳脚跟后，恶意软件会启动一系列无文件加载程序，包括名为5.t Downloader的自定义DLL下载程序 和提供最终后门的第二阶段加载程序。

当时Sharp Panda活动中使用的最后阶段有效载荷是自定义后门VictoryDll。

专家们详细介绍了针对越南、印度尼西亚和泰国等东南亚国家实体的多项活动。在叶芝期间，感染链的初始部分（使用 Word 文档、RoyalRoad RTF和 5.t 下载器）保持不变，但在2023年初，VictoryDll后门被新版本的SoulSearcher加载程序取代 。

为了只针对东南亚的组织，攻击者使用了地理围栏C&C服务器。SoulSearcher加载器用于下载、解密Soul模块化后门的其他模块并将其加载到内存中。

Soul恶意软件的主要模块负责与C&C服务器通信，其主要目的是在内存中接收和加载附加模块。后门支持的最有趣的功能之一是“无线电静默”，它允许威胁参与者指定一周内不允许后门与C2服务器通信的特定时间。

后门的最新样本（编译于29/11/2022 02:12:34 UTC）与专家之前分析的样本有很大不同。新版本的SoulBackdoor实现了新的自定义C2协议和一组新的API端点。研究人员注意到C&C请求包含额外的HTTP请求标头。较新变体支持的C2命令主要侧重于加载附加模块，同时缺少任何类型的常见后门功能，如操作本地文件、将文件发送到C&C和执行远程命令。

“在所描述的活动中，感染链的后期阶段基于Soul，这是一个以前未归属的模块化恶意软件框架。虽然Soul框架至少从2017年就开始使用，但其背后的威胁参与者一直在不断更新和完善其架构和功能。根据我们研究中的技术发现，我们认为这次活动是由中国支持的高级威胁行为者发起的，他们的其他工具、能力和在更广泛的间谍活动网络中的地位还有待探索。” 

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/4812.html