29

“盲眼鹰”新攻击活动:伪装为哥伦比亚司法部门

 5 years ago
source link: http://4hou.win/wordpress/?p=30763&%3Butm_source=tuicool&%3Butm_medium=referral
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

概述

盲眼鹰(APT-C-36)是2019年2月,360威胁情报中心披露的针对哥伦比亚大型政企机构的新APT组织,该组织自2018年,持续发起针对哥伦比亚的攻击活动,该组织通过伪装成与目标受害者业务相关的政府部门对受害者发送钓鱼邮件,诱导其执行带有恶意宏的附件。一旦受害者启用宏,恶意宏代码便会执行,从而拉回Imminent RAT执行,控制受害者计算机。

简略TTP

组织名称 盲眼鹰(APT-C-36) 疑似来源 南美洲国家 攻击目标 哥伦比亚政府机构和大型公司(金融、石油、制造等行业) 攻击手法 伪装为哥伦比亚政府机构进行鱼叉邮件投递 使用后门 Imminent RAT

样本分析

DROPPER

文件名 Denuncia Virtual en su contra.doc(对你的虚拟控告) MD5 9FB15F35F6C2BA4727CBA53FB95C1179 样本来源 https://app.any.run/tasks/8709d129-7acd-4e5c-81c0-110a3f4751fe

诱饵文档内容如下:

V7BB7nu.jpg!web

通过对内容图标使用谷歌以图搜图发现,该图标为为哥伦比亚司法部门的图标。

6nmQ7fU.jpg!web

而文件名为翻译为“对你的虚假控告”,因此,小编大胆猜测,此次攻击活动的的邮件内容大致应该是告诉受害者被控告,需查看附件连接详细信息。从而达到诱导受害者执行附件。

宏被加密了,利用olevba可以成功解出宏:

67jy6bN.jpg!web

宏与之前的样本类似,从 http://eltiempocomco.com/f.jpg 下载后续木马执行。

Imminent rat

将后续木马下回来,先放在虚拟机里溜溜马:

jUJjMr2.jpg!web

看行为中的字符串确实是Imminent rat,该样本为商业远控木马,官方的售卖地址:imminentmethods.net,支持的命令功能如下:

ID 功能 bDfBqxDCINCfwSAfMnZwspLefnc 主机管理 ChatPacket 用户支持 cokLfFnjBwgKtzdTpdXSgQIPacR 注册表管理 CommandPromptPacket 远程命令行 ConnectionSocketPacket 网络传输通道管理 ExecutePacket 上传、下载、执行 PE 文件 FastTransferPacket 支持快速传输 FilePacket 文件管理 FileThumbnailGallery 支持文件缩略图库 KeyLoggerPacket 键盘记录 MalwareRemovalPacket 恶意功能管理 MessageBoxPacket 聊天消息 MicrophonePacket 麦克风聊天 MouseActionPacket 鼠标动作 MouseButtonPacket 鼠标左、右、掠过等 NetworkStatPacket 主机网络管理 PacketHeader 通信数据头信息 PasswordRecoveryPacket 浏览器密码恢复 PluginPacket 插件管理 ProcessPacket 进程管理 ProxyPacket 代理管理(反向代理等) RDPPacket 提供远程桌面功能 RegistryPacket 注册表操作 RemoteDesktopPacket 标志远程桌面数据包 ScriptPacket 执行脚本( html vbs batch SpecialFolderPacket Windows 特殊文件夹 StartupPacket 启动项操作 TcpConnectionPacket TCP 刷新及关闭 ThumbnailPacket 缩略图相关 TransferHeader 通信连接操作 WebcamPacket 网络摄像头相关 WindowPacket Windows 操作(刷新、最大化、最小化等)

关联分析

与之前披露的攻击活动TTP基本一致,攻击者伪装成哥伦比亚政府机构进行攻击,都采用带有恶意宏的MHTML格式的Office Word诱饵文档,且宏也基本一致。

bIJnQvv.jpg!web

后门也同样是Imminent rat,且c2: medicosco.publicvm.com是之前活动披露过的:

eA3AnmA.jpg!web

基于公开的威胁情报信息关联分析,可见该样本确实属于APT-C-36。

Ioc

MD5:9fb15f35f6c2ba4727cba53fb95c1179
URL:eltiempocomco.com/f.jpg
C2:medicosco.publicvm.com

参考

https://ti.360.net/blog/articles/apt-c-36-continuous-attacks-targeting-colombian-government-institutions-and-corporations/

*本文作者:fuckgod,转载请注明来自FreeBuf.COM


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK