В начале 2021 года компания Check Point Research выявила операцию по слежке, названную Sharp Panda, которая была направлена на правительственные организации Юго-Восточной Азии. Злоумышленники использовали фишинговые электронные письма для получения первоначального доступа к целевым сетям. Эти письма обычно содержали документ Word с правительственной тематикой, который использовал удаленный шаблон для загрузки и запуска вредоносного документа RTF, оснащенного печально известным набором RoyalRoad.
Попадая внутрь, вредоносная программа запускает цепочку загрузчиков в памяти, состоящую из пользовательского загрузчика DLL, который Checkpoint называет 5.t Downloader, и загрузчика второго уровня, отвечающего за доставку последнего бэкдора. Последней полезной нагрузкой, наблюдавшейся в кампаниях того времени, была VictoryDll, уникальная вредоносная программа, позволявшая осуществлять удаленный доступ и сбор данных с зараженного устройства.
Однако в начале 2023 года при расследовании атаки на одно из государственных учреждений, расположенных в целевом регионе, полезная нагрузка, полученная с геозонированного C&C-сервера агента, отличалась от бэкдора VictoryDll, наблюдавшегося ранее. Дальнейший анализ показал, что эта полезная нагрузка представляет собой новую версию загрузчика SoulSearcher, который отвечает за загрузку, расшифровку и загрузку в память других модулей модульного бэкдора Soul.
Indicators of Compromise
IPv4
- 103.159.132.96
- 103.173.154.168
- 103.213.247.48
- 103.78.242.11
- 139.180.137.73
- 139.180.138.49
- 152.32.243.17
- 45.197.132.68
- 45.197.133.23
- 45.76.190.210
Domains
- office.oiqezet.com
SHA256
- 065d399f6e84560e9c82831f9f2a2a43a7d853a27e922cc81d3bc5fcd1adfc56
- 0f9f85d41da21781933e33dddcc5f516c5ec07cc5b4cff53ba388467bc6ac3fd
- 12c1a4c6406ff378e8673a20784c21fb997180cd333f4ef96ed4873530baa8d3
- 17f4a21e0e8c0ce958baf34e45a8b9481819b9b739f3e48c6ba9a6633cf85b0e
- 1a15a35065ec7c2217ca6a4354877e6a1de610861311174984232ba5ff749114
- 1e18314390302cd7181b710a03a456de821ad85334acfb55f535d311dd6b3d65
- 32a0f6276fea9fe5ee2ffda461494a24a5b1f163a300bc8edd3b33c9c6cc2d17
- 341dee709285286bc5ba94d14d1bce8a6416cb93a054bd183b501552a17ef314
- 3541f3d15698711d022541fb222a157196b5c21be4f01c5645c6a161813e85eb
- 390e6820b2cc173cfd07bcebd67197c595f4705cda7489f4bc44c933ddcf8de6
- 4747e6a62fee668593ceebf62f441032f7999e00a0dfd758ea5105c1feb72225
- 7a7e519f82af8091b9ddd14e765357e8900522d422606aefda949270b9bf1a04
- 811a020b0f0bb31494f7fbe21893594cd44d90f77fcd1f257925c4ac5fabed43
- 81d9e75d279a953789cbbe9ae62ce0ed625b61d123fef8ffe49323a04fecdb3f
- 9d628750295f5cde72f16da02c430b5476f6f47360d008911891fdb5b14a1a01
- b023e2b398d552aacb2233a6e08b4734c205ab6abf5382ec31e6d5aa7c71c1cb
- c4500ad141c595d83f8dba52fa7a1456959fb0bc2ee6b0d0f687336f51e1c14e
- ca7f297dc04acad2fab04d5dc2de9475aed4186805f6c237c10b8f56b384cf30
- d1a6c383de655f96e53812ee1dec87dd51992c4be28471e44d7dd558585312e0
- df5fe7ec6ecca27d3affc901cb06b27dc63de9ea8c97b87bc899a79eca951d60
- f2779c63373e33fdbd001f336df36b01b0360cd6787c1cd29a6524cc7bcf1ffb
- f8622a502209c18055a308022629432d82f823dd449abd9b17c61e363a890828