近期，法國(guó)安全研究者兼 BotConf 和 FastIR創(chuàng)始人Sebastien Larinier繼續(xù)發(fā)布線索，聲稱中國(guó)黑客組織Goblin Panda曾針對(duì)柬埔寨和韓國(guó)發(fā)起了APT攻擊。在這篇文章中，Sebastien披露了Goblin Panda針對(duì)柬埔寨APT攻擊中所所使用的惡意文檔。
惡意文檔相關(guān)信息
RTF文檔
SHA256: 9d0c4ec62abe79e754eaa2fd7696f98441bc783781d8656065cddfae3dbf503e
攻擊者利用該文檔，可在目標(biāo)系統(tǒng)中生成一個(gè)合法文件。
核心的遠(yuǎn)控程序（RAT）
SHA256: 77361b1ca09d6857d68cea052a0bb857e03d776d3e1943897315a80a19f20fc2
dll文件
SHA256: 4a5bf0df9ee222dac87e2f1b38b18660ebb92de8ba3f1cbc845f945a766dd6a6
C2
dll文件會(huì)回連域名weather.gbaycruise.com，該域名對(duì)應(yīng)IP為103.193.4.106，它與早前Sebastien發(fā)現(xiàn)的中國(guó)黑客組織針對(duì)越南政府APT攻擊的另一使用IP地址103.193.4.115，有多處網(wǎng)絡(luò)架構(gòu)重合。

另外有意思的是，對(duì)柬對(duì)越攻擊中用到的所有域名都是通過(guò)注冊(cè)機(jī)構(gòu)NAMECHEAP INC注冊(cè)的，并且使用的是同一個(gè)域名服務(wù)器，同時(shí)，其中一個(gè)SHA256為0e32ce9e0c309859fd0d1193f54cad0dde7928053795892a0f6c8c96cbf6753d的dll文件，還會(huì)回連域名baoin.baotintu.com。

Sebastien認(rèn)為，綜合7月份FireEye發(fā)布的報(bào)告來(lái)看，他判斷這個(gè)惡意文檔是Goblin Panda用來(lái)攻擊柬埔寨政府的。
FireEye曾經(jīng)披露的報(bào)告要素
今年7月，F(xiàn)ireEye披露調(diào)查線索，懷疑中國(guó)黑客組織TEMP.Periscope在柬埔寨大選前，意圖入侵柬埔寨政府獲取柬埔寨大選相關(guān)信息。FireEye的調(diào)查要點(diǎn)如下：
攻擊者用 chemscalere[.]com 和 scsnewstoday[.]com兩個(gè)域名作為C2回連域名，并在上面架設(shè)了網(wǎng)頁(yè)服務(wù)；另外，還利用第三個(gè)域名 mlcdailynews[.]com作為用途為SCANBOX的網(wǎng)站服務(wù)；攻擊者利用的C2域名服務(wù)器中留下了一些日志記錄和用到的惡意軟件。
FireEye通過(guò)反入侵以上三個(gè)服務(wù)器，獲取了其中的日志和其它相關(guān)信息，得出以下初步結(jié)論：
攻擊者從隸屬中國(guó)海南的某個(gè)IP地址遠(yuǎn)程登錄和控制以上服務(wù)器，針對(duì)目標(biāo)系統(tǒng)的惡意軟件植入、命令控制和數(shù)據(jù)獲取進(jìn)行掌控；
攻擊者的入侵已經(jīng)成功滲透到柬埔寨相關(guān)的教育、航空、化工、國(guó)防、政府、海事和科技等領(lǐng)域的多個(gè)部門；
FireEye經(jīng)過(guò)識(shí)別，已經(jīng)通知了所有的受害者單位；
攻擊者在入侵中還使用了新系列的惡意軟件：DADBOD 和 EVILTECH，之前被識(shí)別的惡意軟件系列為AIRBREAK、EVILTECH、HOMEFRY、MURKYTOP、HTRAN和SCANBOX。
FireEye通過(guò)C2服務(wù)器上的命令控制記錄，還得到了一些針對(duì)7月底柬埔寨大選進(jìn)行網(wǎng)絡(luò)攻擊的線索：
FireEye發(fā)現(xiàn)了一封針對(duì)柬埔寨反對(duì)派人士的釣魚郵件；
FireEye發(fā)現(xiàn)多個(gè)柬埔寨政府實(shí)體受到攻擊，包括柬埔寨的國(guó)家選舉委員會(huì)、內(nèi)政部、外交和國(guó)際合作部、柬埔寨參議院、經(jīng)濟(jì)和財(cái)政部；
FireEye發(fā)現(xiàn)柬埔寨國(guó)家救援黨多個(gè)議員、人權(quán)和民主倡導(dǎo)人士和兩名柬埔寨海外外交官成為攻擊者目標(biāo)；
FireEye發(fā)現(xiàn)多個(gè)柬埔寨媒體機(jī)構(gòu)成為攻擊者目標(biāo)。
其它發(fā)現(xiàn)
Sebastien Larinier綜合FireEye的上述報(bào)告，他自己又發(fā)現(xiàn)了一個(gè)與此攻擊相關(guān)的新的惡意文檔，c0b8d15cd0f3f3c5a40ba2e9780f0dd1db526233b40a449826b6a7c92d31f8d9，該惡意文檔回連的IP地址為103.243.175.181，該IP地址還可關(guān)聯(lián)到另一域名update.wsmcoff.com，其對(duì)應(yīng)的IP地址為185.174.173.157，最終，IP地址185.174.173.157會(huì)與FireEye報(bào)告中的C2服務(wù)器chemscalere.com發(fā)生關(guān)聯(lián)行為。

因此，綜合以上發(fā)現(xiàn)，Sebastien Larinier認(rèn)為，update.wsmcoff.com也是TEMP.Periscope使用的網(wǎng)絡(luò)攻擊架構(gòu)之一，Goblin Panda和TEMP.Periscope都曾對(duì)柬埔寨政府發(fā)起網(wǎng)絡(luò)攻擊，它們兩個(gè)組織之間有著多個(gè)相同的技術(shù)能力特點(diǎn)。