Исследовательское подразделение компании Acronis (Acronis TRU) обнаружило две целенаправленные кибератаки на государственные структуры Камбоджи. Жертвами стали ведомства, связанные с обороной и общественными работами. Злоумышленники использовали ранее неизвестную вредоносную программу, которой специалисты присвоили имя NIGHTFORGE. Саму группировку, стоящую за атаками, назвали Khmer Shadow.
Описание
Оба инцидента начались с фишинговых писем, которые содержали самораспаковывающиеся архивы (SFX). Файлы были замаскированы под документы PDF с названиями вроде Contact_Letter_To_Ms_Pech_ICB_Cambodia_On_Collaboration.pdf.exe. Внутри архива находились легитимные библиотеки и одна вредоносная DLL, использованная для атаки на механизм загрузки динамических библиотек.
После запуска архива на компьютере жертвы срабатывал скрипт. Он запускал программу VMwareNamespaceCmd.exe - официальный компонент от VMware, подписанный цифровой подписью компании. Из-за особенностей импорта эта программа автоматически загружала вредоносную DLL с именем vmtools.dll. Так злоумышленники обходили антивирусную защиту: код исполнялся от имени доверенного приложения.
NIGHTFORGE является загрузчиком, написанным на C++. Он выполняет расшифровку и запуск полезной нагрузки в оперативной памяти компьютера. В качестве финальной стадии используется Havoc Demon - известная вредоносная программа с открытым исходным кодом, которая обеспечивает удалённое управление атакованной машиной.
С технической точки зрения загрузчик демонстрирует средний уровень сложности. Он применяет методы обхода систем безопасности, такие как снятие перехватчиков с системной библиотеки NTDLL (библиотека базового уровня Windows, отвечающая за системные вызовы) и использование техники Hell's Gate для прямого вызова системных функций в обход пользовательского мониторинга. Эти приёмы помогают скрывать активность вредоносного кода от антивирусов и систем поведенческого анализа.
Однако, несмотря на продвинутые техники защиты, группа допустила серьёзные операционные просчёты. В обеих атаках использовались идентичные полезные нагрузки и одна и та же инфраструктура. Это позволило исследователям связать два инцидента и выявить дополнительные серверы управления, принадлежащие злоумышленникам.
Как отчёт Acronis TRU показывает, разница между кампаниями заключалась лишь в содержимом PDF-документов-приманок. В атаке на Информационное бюро при Министерстве обороны Камбоджи такой документ присутствовал. Он был составлен как деловое письмо от имени некоего Чэнь Минлуна из Пекина, адресованное сотруднице бюро Печ Нгет. В тексте обсуждались детали предстоящей миссии в мае 2026 года и вопросы технического взаимодействия. Второй вариант атаки на Министерство общественных работ и транспорта такой приманки не содержал.
После того как загрузчик NIGHTFORGE расшифровывал и запускал код из памяти, управление передавалось открытому загрузчику KaynLdr. Тот, в свою очередь, извлекал и запускал Havoc Demon - агент, который связывался с командно-контрольным сервером (C2, сервер управления, используемый злоумышленниками для отдачи команд) по протоколу HTTPS. Домен C2 - sharingfile[.]cloud - был зарегистрирован через регистратора NameSilo и прикрыт сетью доставки контента Cloudflare, что скрывало истинный IP-адрес сервера.
Инфраструктурный анализ подтвердил связь между серверами. С помощью метода JARM (метод идентификации серверов по характерному отпечатку TLS-рукопожатия) удалось обнаружить второй сервер с таким же цифровым отпечатком. Он находился в США на домене linkednewsapi[.]top. Оба сервера работали под управлением Microsoft-HTTPAPI/2.0 и имели сертификаты Cloudflare, выданные одним центром сертификации. Временные метки показали, что первый C2 был подготовлен в декабре 2025 года, а второй - в конце января 2026. Компиляция файла Havoc Demon совпадает с 10 марта 2026 года - датой первого появления SSL-сертификата в исторических записях.
Специалисты Acronis не стали приписывать эту активность какой-либо известной группировке. Хотя техника DLL-подгрузки через vmtools.dll уже наблюдалась у APT29, Mustang Panda и PatchWork, такое совпадение может быть случайным. Целевая направленность, характер приманок и операционная картина указывают на шпионский характер атак. Выбор камбоджийских оборонного и транспортного ведомств говорит о заинтересованности в региональных разведданных.
Группа Khmer Shadow стремилась к скрытности, но пренебрегла операционной безопасностью. Повторное использование одних и тех же артефактов и инфраструктуры позволило выявить дополнительные серверы и связать атаки в единую кампанию. Это классический пример того, как даже продвинутые технические методы не компенсируют слабую дисциплину злоумышленников.
Индикаторы компрометации
IPv4
- 104.193.255.99
- 193.169.240.38
Domains
- linkednewsapi.top
- www.sharingfile.cloud
SHA256
- 15278c52f4e0d8b5bbfe288a5e826ab2ebeaedb7fb85572940cf1263e384761f
- 1852120a84a328edd1995e633dfd2009867898a8e3f0b385e2490cf21c77a994
- 90bbfa9e7af176b85d110f4f1789cae6777fcb60813b047133c8f12caa344a17
- b3e853eee14fb7948c6907888ee07139085ba9af4231c30e97ff6236b86ca024