主站

分类

漏洞 工具 极客 web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据库安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

FreeBuf+小程序

官方公众号企业安全新浪微博

国内领先的互联网安全新媒体,同时也是爱好者们交流与分享安全技术的社区

“盲眼鹰”新攻击活动:伪装为哥伦比亚司法部门 金币
2019-04-04 10:00:00

概述

盲眼鹰(APT-C-36)是2019年2月,360威胁情报中心披露的针对哥伦比亚大型政企机构的新APT组织,该组织自2018年,持续发起针对哥伦比亚的攻击活动,该组织通过伪装成与目标受害者业务相关的政府部门对受害者发送钓鱼邮件,诱导其执行带有恶意宏的附件。一旦受害者启用宏,恶意宏代码便会执行,从而拉回Imminent RAT执行,控制受害者计算机。

简略TTP

组织名称 盲眼鹰(APT-C-36)
疑似来源 南美洲国家
攻击目标 哥伦比亚政府机构和大型公司(金融、石油、制造等行业)
攻击手法 伪装为哥伦比亚政府机构进行鱼叉邮件投递
使用后门 Imminent RAT

样本分析

DROPPER

文件名 Denuncia Virtual en su contra.doc(对你的虚拟控告)
MD5 9FB15F35F6C2BA4727CBA53FB95C1179
样本来源 https://app.any.run/tasks/8709d129-7acd-4e5c-81c0-110a3f4751fe

诱饵文档内容如下:

通过对内容图标使用谷歌以图搜图发现,该图标为为哥伦比亚司法部门的图标。

而文件名为翻译为“对你的虚假控告”,因此,小编大胆猜测,此次攻击活动的的邮件内容大致应该是告诉受害者被控告,需查看附件连接详细信息。从而达到诱导受害者执行附件。

宏被加密了,利用olevba可以成功解出宏:

宏与之前的样本类似,从http://eltiempocomco.com/f.jpg下载后续木马执行。

Imminent rat

将后续木马下回来,先放在虚拟机里溜溜马:

看行为中的字符串确实是Imminent rat,该样本为商业远控木马,官方的售卖地址:imminentmethods.net,支持的命令功能如下:

ID 功能
bDfBqxDCINCfwSAfMnZwspLefnc 主机管理
ChatPacket 用户支持
cokLfFnjBwgKtzdTpdXSgQIPacR 注册表管理
CommandPromptPacket 远程命令行
ConnectionSocketPacket 网络传输通道管理
ExecutePacket 上传、下载、执行PE文件
FastTransferPacket 支持快速传输
FilePacket 文件管理
FileThumbnailGallery 支持文件缩略图库
KeyLoggerPacket 键盘记录
MalwareRemovalPacket 恶意功能管理
MessageBoxPacket 聊天消息
MicrophonePacket 麦克风聊天
MouseActionPacket 鼠标动作
MouseButtonPacket 鼠标左、右、掠过等
NetworkStatPacket 主机网络管理
PacketHeader 通信数据头信息
PasswordRecoveryPacket 浏览器密码恢复
PluginPacket 插件管理
ProcessPacket 进程管理
ProxyPacket 代理管理(反向代理等)
RDPPacket 提供远程桌面功能
RegistryPacket 注册表操作
RemoteDesktopPacket 标志远程桌面数据包
ScriptPacket 执行脚本(htmlvbs batch
SpecialFolderPacket Windows特殊文件夹
StartupPacket 启动项操作
TcpConnectionPacket TCP刷新及关闭
ThumbnailPacket 缩略图相关
TransferHeader 通信连接操作
WebcamPacket 网络摄像头相关
WindowPacket Windows操作(刷新、最大化、最小化等)

关联分析

与之前披露的攻击活动TTP基本一致,攻击者伪装成哥伦比亚政府机构进行攻击,都采用带有恶意宏的MHTML格式的Office Word诱饵文档,且宏也基本一致。

后门也同样是Imminent rat,且c2: medicosco.publicvm.com是之前活动披露过的:

基于公开的威胁情报信息关联分析,可见该样本确实属于APT-C-36。

Ioc

MD5:9fb15f35f6c2ba4727cba53fb95c1179

URL:eltiempocomco.com/f.jpg

C2:medicosco.publicvm.com

参考

https://ti.360.net/blog/articles/apt-c-36-continuous-attacks-targeting-colombian-government-institutions-and-corporations/

*本文作者:fuckgod,转载请注明来自FreeBuf.COM

本文作者:, 转载请注明来自FreeBuf.COM

# 盲眼鹰 # 哥伦比亚
被以下专栏收录,发现更多精彩内容
+ 收入我的专栏
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦