Phân tích hạ tầng của nhóm APT Goblin Panda

Sử dụng tính năng graph trên trang cyberintel.io để phân tích hạ tầng của nhóm APT Goblin Panda, chúng tôi nhận thấy sự liên hệ giữa hạ tầng mà các nhóm này đã sử dụng trong các chiến dịch từ trước đến nay. Trong đó các tên miền cũ sau một thời gian sẽ cấu hình lại tới các IP mới, các IP mới được tiếp tục sử dụng để trỏ các tên miền mới phục vụ cho các chiến dịch tương lai.

Tổng quan sẽ thấy hạ tầng của nhóm Goblin Panda được phân bố

Hình 29 Hạ tầng nhóm APT Goblin Panda (Nguồn: Viettel Threat Intelligence)

Hạ tầng được sử dụng trong các chiến dịch khoảng từ 2015-2019

(Nguồn: Viettel Threat Intelligence)

Hạ tầng được sử dụng trong chiến dịch tháng 11/2019

(Nguồn: Viettel Threat Intelligence)

Hạ tầng được sử dụng trong các chiến dịch của năm 2020

(Nguồn: Viettel Threat Intelligence)

Dấu hiệu nhận biết mã độc:

Malware Hash IOC:

  • Phương án trực ***.docx: 54f6bd17b04a946eaf0620a7833e9a0f9f42d797330d0d4d6c84d01d827a1b43
  • QcLite.dll [SHA256: 47c5bdd321376806fe88956b81d48fb3cb4429423862d34ebe03f022e1a5c5db]
  • stdole.tlb [SHA256: f4e204e3aac55e84f5ada4b70f15a6e84c20bb83585213765eb0d1daf5555b9a]

Malware C&C IOC:

  • tintuc.mattrantoquocvnnhanoihcm[.]com
  • http://static.bambooairwaysshy[.]com/images/yfcpt.png?ccppt
  • static.bambooairwaysshy[.]com
  • 160.20.147[.]206
  • 92.38.135[.]81

Host IOC:

  • %AppData%\Microsoft\Windows\TempPictures\QcLite.dll

Persistent IOC:

  • HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\Windows HD Audio Manager  =  C:\Users\*user*\AppData\Local\Temp\QcConsol.exe -LowIntegrityServer

ATT&CK

References

[1] "Template Injection," [Online]. Available: https://attack.mitre.org/techniques/T1221/.
[2] [Online]. Available: https://nao-sec.org/2020/01/an-overhead-view-of-the-royal-road.html.
[3] [Online]. Available: https://tradahacking.vn/là-1937cn-hay-oceanlotus-hay-lazarus-6ca15fe1b241.
[4] [Online]. Available: https://blog.malwarelab.pl/posts/on_the_royal_road/.
[5] [Online]. Available: https://www.fortinet.com/blog/threat-research/rehashed-rat-used-in-apt-campaign-against-vietnamese-organizations.html.
[6] [Online]. Available: https://github.com/xdnice/PCShare.

Author: Viettel Threat Intelligence