Содержание
Цели:
- Шпионаж
Общее описание
Goblin Panda в первые обнаружена в 2013 году исследователями из CrowdStrike и считается группой действующей в интересах Китая. Группа сосредоточена на шпионаже и имеет в своем арсенале ВПО, способное коммуницировать в закрытых сетях. В результате анализа ВПО было выявлено, что группа имеет пересечения с инструментами группы Calypso.
Инструменты
- USBCulprit
- NewCore RAT
- PlugX
- RoyalRoad builder
Атакуемые отрасли
- Государственный сектор
Атакуемые страны
- Юго-восточная Азия (Вьетнам, Лаос, Южная Корея)
Альтернативные названия группы
- Cycldek, Hellsing, Conimes
Отчеты Positive Technologies и других исследователей
- https://www.crowdstrike.com/blog/meet-crowdstrikes-adversary-of-the-month-for-august-goblin-panda/
- https://securelist.com/cycldek-bridging-the-air-gap/97157/
- https://blog.viettelcybersecurity.com/p1-chien-dich-cua-nhom-apt-trung-quoc-goblin-panda-tan-cong-vao-viet-nam-loi-dung-dai-dich-covid-19/
- https://blog.vincss.net/2020/03/re012-phan-tich-ma-doc-loi-dung-dich-COVID-19-de-phat-tan-gia-mao-chi-thi-cua-thu-tuong-Nguyen-Xuan-Phuc-phan2.html
- https://meltx0r.github.io/tech/2020/02/12/goblin-panda-apt.html
- https://medium.com/@Sebdraven/goblin-panda-continues-to-target-vietnam-bc2f0f56dcd6
- https://www.gteltsc.vn/blog/phan-tich-mot-bien-the-cua-malware-kriskynote-7673.html
- https://medium.com/@Sebdraven/rtf-royal-road-drops-a-new-backdoor-mfc-and-links-with-goblin-panda-90db06f80611
- https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_8_koike-nakajima_jp.pdf
Тактики из MITRE ATT&CK, использованные группой
ID | Название | Описание |
---|---|---|
Execution | ||
T1203 | Exploitation for Client Execution | Группа использует в своих атаках эксплойты для уязвимостей: CVE-2012-0158, CVE-2017-0199, CVE-2017-11882, CVE-2018-0802 |
Persistence | ||
T1547.001 | Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder | Группа может закрепиться в системе, используя реестр |
T1547.009 | Boot or Logon Autostart Execution: Shortcut Modification | Дропперы NewCore RAT создают специальный LNK-файл, путь до которого используется при закреплении в системе |
T1574.001 | Hijack Execution Flow: DLL Search Order Hijacking | Группа использует уязвимые приложения в качестве прокси: QcConsol.exe, chrome_frame_helper.exe, GoogleUpdate.exe |
T1543.003 | Create or Modify System Process: Windows Service | Группа может закрепиться в системе, используя новый сервис |
Privilege Escalation | ||
T1055.003 | Process Injection: Thread Execution Hijacking | ВПО, используемое этой группой, может внедряться в различные процессы |
Defense Evasion | ||
T1140 | Deobfuscate/Decode Files or Information | Полезная нагрузка на диске зашифрована |
T1564.001 | Hide Artifacts: Hidden Files and Directories | Группа скрывает используемые файлы и директории, помечая их как системные и скрытые |
T1574.001 | Hijack Execution Flow: DLL Search Order Hijacking | Группа использует уязвимые приложения в качестве прокси: QcConsol.exe, chrome_frame_helper.exe, GoogleUpdate.exe |
T1070.004 | File Deletion | Группа удаляет временные файлы, используемые при работе. Например, файл, содержащий листинг директорий с информацией о зараженном компьютере |
T1036 | Masquerading: Masquerade Task or Service | Группа маскирует имена создаваемых сервисов, ключей реестра, файлов так, чтобы они выглядели максимально похоже на легитимные |
T1221 | Template Injection | Группа использует Template Injection для загрузки с удаленного сервера документа с эксплойтом |
Credential Access | ||
T1056.001 | Input Capture: Keylogging | ВПО, используемое группой, имеет функцию записи нажатия на клавиши |
Discovery | ||
T1083 | File and Directory Discovery | ВПО, используемое группой, имеет функцию для исследования директорий файлов, располагающихся на зараженном компьютере, а также на подключаемых внешних носителях |
T1033 | System Owner/User Discovery | ВПО, используемое группой, собирает информацию о пользователе |
T1124 | System Time Discovery | ВПО, используемое группой, собирает информацию о текущей дате и времени |
Collection | ||
T1560.001 | Archive Collected Data: Archive via Utility | Группа использует утилиту RAR для архивации документов, собранных с зараженных устройств |
T1119 | Automated Collection | Группа использует серию CMD-команд, вывод которых аккумулируется во временном файле, который отправляется в коммуникационный канал |
T1005 | Data from Local System | ВПО, используемое группой, собирает файлы с зараженного компьютера, используя маски для поиска файлов, состоящие из расширений файлов. Преимущественно это документы. Также группа собирает информацию об устанавливаемых RDP-сессиях |
T1025 | Data from Removable Media | Группа собирает файлы с подключаемых к зараженной машине внешних USB-носителей, используя маски для поиска файлов, состоящие из расширений файлов. Преимущественно это документы |
T1056.001 | Input Capture: Keylogging | ВПО, используемое группой, имеет функцию записи нажатий на клавиши |
T1113 | Screen Capture | ВПО, используемое группой, имеет функцию HVNC |
Command And Control | ||
T1071.001 | Application Layer Protocol: Web Protocols | Группа использует стандартные протоколы для общения между контрольными серверами и ВПО |
T1092 | Communication Through Removable Media | ВПО, используемое группой, имеет возможность обмениваться собранными файлами и получать обновления через внешние устройства |
T1568.002 | Dynamic Resolution: Domain Generation Algorithms | ВПО имеет возможность определения адреса управляющего сервера, используя DGA |
T1571 | Non-Standard Port | Группой используются нестандартные порты для взаимодействия в сети |
Exfiltration | ||
T1020 | Automated Exfiltration | Сбор и передача файлов, собранных в архивы, происходит автоматически при подключении внешнего носителя или осуществляется сразу на управляющий сервер |
T1041 | Exfiltration Over C2 Channel | Группа имеет возможность получения информации через сетевой канал |
T1052.001 | Exfiltration Over Physical Medium: Exfiltration over USB | Группа имеет возможность получения информации через подключаемые внешние носители |