近期，法國安全研究者兼 BotConf 和 FastIR創(chuàng)始人Sebastien Larinier繼續(xù)發(fā)布線索，聲稱中國黑客組織Goblin Panda曾針對柬埔寨和韓國發(fā)起了APT攻擊。在這篇文章中，Sebastien披露了Goblin Panda針對柬埔寨APT攻擊中所所使用的惡意文檔。
惡意文檔相關(guān)信息
RTF文檔
SHA256: 9d0c4ec62abe79e754eaa2fd7696f98441bc783781d8656065cddfae3dbf503e
攻擊者利用該文檔，可在目標(biāo)系統(tǒng)中生成一個合法文件。
核心的遠(yuǎn)控程序（RAT）
SHA256: 77361b1ca09d6857d68cea052a0bb857e03d776d3e1943897315a80a19f20fc2
dll文件
SHA256: 4a5bf0df9ee222dac87e2f1b38b18660ebb92de8ba3f1cbc845f945a766dd6a6
C2
dll文件會回連域名weather.gbaycruise.com，該域名對應(yīng)IP為103.193.4.106，它與早前Sebastien發(fā)現(xiàn)的中國黑客組織針對越南政府APT攻擊的另一使用IP地址103.193.4.115，有多處網(wǎng)絡(luò)架構(gòu)重合。

另外有意思的是，對柬對越攻擊中用到的所有域名都是通過注冊機(jī)構(gòu)NAMECHEAP INC注冊的，并且使用的是同一個域名服務(wù)器，同時，其中一個SHA256為0e32ce9e0c309859fd0d1193f54cad0dde7928053795892a0f6c8c96cbf6753d的dll文件，還會回連域名baoin.baotintu.com。

Sebastien認(rèn)為，綜合7月份FireEye發(fā)布的報告來看，他判斷這個惡意文檔是Goblin Panda用來攻擊柬埔寨政府的。
FireEye曾經(jīng)披露的報告要素
今年7月，F(xiàn)ireEye披露調(diào)查線索，懷疑中國黑客組織TEMP.Periscope在柬埔寨大選前，意圖入侵柬埔寨政府獲取柬埔寨大選相關(guān)信息。FireEye的調(diào)查要點(diǎn)如下：
攻擊者用 chemscalere[.]com 和 scsnewstoday[.]com兩個域名作為C2回連域名，并在上面架設(shè)了網(wǎng)頁服務(wù)；另外，還利用第三個域名 mlcdailynews[.]com作為用途為SCANBOX的網(wǎng)站服務(wù)；攻擊者利用的C2域名服務(wù)器中留下了一些日志記錄和用到的惡意軟件。
FireEye通過反入侵以上三個服務(wù)器，獲取了其中的日志和其它相關(guān)信息，得出以下初步結(jié)論：
攻擊者從隸屬中國海南的某個IP地址遠(yuǎn)程登錄和控制以上服務(wù)器，針對目標(biāo)系統(tǒng)的惡意軟件植入、命令控制和數(shù)據(jù)獲取進(jìn)行掌控；
攻擊者的入侵已經(jīng)成功滲透到柬埔寨相關(guān)的教育、航空、化工、國防、政府、海事和科技等領(lǐng)域的多個部門；
FireEye經(jīng)過識別，已經(jīng)通知了所有的受害者單位；
攻擊者在入侵中還使用了新系列的惡意軟件：DADBOD 和 EVILTECH，之前被識別的惡意軟件系列為AIRBREAK、EVILTECH、HOMEFRY、MURKYTOP、HTRAN和SCANBOX。
FireEye通過C2服務(wù)器上的命令控制記錄，還得到了一些針對7月底柬埔寨大選進(jìn)行網(wǎng)絡(luò)攻擊的線索：
FireEye發(fā)現(xiàn)了一封針對柬埔寨反對派人士的釣魚郵件；
FireEye發(fā)現(xiàn)多個柬埔寨政府實(shí)體受到攻擊，包括柬埔寨的國家選舉委員會、內(nèi)政部、外交和國際合作部、柬埔寨參議院、經(jīng)濟(jì)和財政部；
FireEye發(fā)現(xiàn)柬埔寨國家救援黨多個議員、人權(quán)和民主倡導(dǎo)人士和兩名柬埔寨海外外交官成為攻擊者目標(biāo)；
FireEye發(fā)現(xiàn)多個柬埔寨媒體機(jī)構(gòu)成為攻擊者目標(biāo)。
其它發(fā)現(xiàn)
Sebastien Larinier綜合FireEye的上述報告，他自己又發(fā)現(xiàn)了一個與此攻擊相關(guān)的新的惡意文檔，c0b8d15cd0f3f3c5a40ba2e9780f0dd1db526233b40a449826b6a7c92d31f8d9，該惡意文檔回連的IP地址為103.243.175.181，該IP地址還可關(guān)聯(lián)到另一域名update.wsmcoff.com，其對應(yīng)的IP地址為185.174.173.157，最終，IP地址185.174.173.157會與FireEye報告中的C2服務(wù)器chemscalere.com發(fā)生關(guān)聯(lián)行為。

因此，綜合以上發(fā)現(xiàn)，Sebastien Larinier認(rèn)為，update.wsmcoff.com也是TEMP.Periscope使用的網(wǎng)絡(luò)攻擊架構(gòu)之一，Goblin Panda和TEMP.Periscope都曾對柬埔寨政府發(fā)起網(wǎng)絡(luò)攻擊，它們兩個組織之間有著多個相同的技術(shù)能力特點(diǎn)。