APT组织Sharp Panda瞄准东南亚的政府实体
APT组织Sharp Panda以Soul模块化框架瞄准东南亚知名政府实体。
CheckPoint研究人员在2022年底观察到,与中国有联系的APT组织Sharp Panda发起了一场针对东南亚知名政府实体的活动。
国家资助的黑客使用了新版本的SoulSearcher加载器,最终加载了新版本的Soul模块化框架。
研究人员指出,这是Soul恶意软件框架首次被归因于已知的恶意活动集群,尽管它之前曾用于针对东南亚国防、医疗保健和ICT行业的攻击。研究人员不能排除Soul框架被该地区的多个威胁参与者利用。
“Sharp Panda的工具和TTP(战术、技术和程序)与之前提到的东南亚攻击之间的联系可能是中国APT行动固有的关键特征的另一个例子,例如在团体之间共享自定义工具或任务专业化,当一个实体负责最初的感染而另一个实体执行实际的情报收集时。”
CheckPoint研究人员于2021年初首次发现Sharp Pands的活动,当时该APT组织正针对东南亚政府实体进行鱼叉式网络钓鱼攻击。
攻击者使用带有政府主题诱饵的Word文档,该诱饵依赖远程模板下载并运行恶意RTF文档,并使用臭名昭著的RoyalRoad工具包作为武器。
在目标系统中站稳脚跟后,恶意软件会启动一系列无文件加载程序,包括名为5.t Downloader的自定义DLL下载程序 和提供最终后门的第二阶段加载程序。
当时Sharp Panda活动中使用的最后阶段有效载荷是自定义后门VictoryDll。
专家们详细介绍了针对越南、印度尼西亚和泰国等东南亚国家实体的多项活动。在叶芝期间,感染链的初始部分(使用 Word 文档、RoyalRoad RTF和 5.t 下载器)保持不变,但在2023年初,VictoryDll后门被新版本的SoulSearcher加载程序取代 。
为了只针对东南亚的组织,攻击者使用了地理围栏C&C服务器。SoulSearcher加载器用于下载、解密Soul模块化后门的其他模块并将其加载到内存中。

Soul恶意软件的主要模块负责与C&C服务器通信,其主要目的是在内存中接收和加载附加模块。后门支持的最有趣的功能之一是“无线电静默”,它允许威胁参与者指定一周内不允许后门与C2服务器通信的特定时间。
后门的最新样本(编译于29/11/2022 02:12:34 UTC)与专家之前分析的样本有很大不同。新版本的SoulBackdoor实现了新的自定义C2协议和一组新的API端点。研究人员注意到C&C请求包含额外的HTTP请求标头。较新变体支持的C2命令主要侧重于加载附加模块,同时缺少任何类型的常见后门功能,如操作本地文件、将文件发送到C&C和执行远程命令。
“在所描述的活动中,感染链的后期阶段基于Soul,这是一个以前未归属的模块化恶意软件框架。虽然Soul框架至少从2017年就开始使用,但其背后的威胁参与者一直在不断更新和完善其架构和功能。根据我们研究中的技术发现,我们认为这次活动是由中国支持的高级威胁行为者发起的,他们的其他工具、能力和在更广泛的间谍活动网络中的地位还有待探索。”
本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/4812.html