APT-C-36

  盲眼鹰

APT-C-36（盲眼鹰）是一个疑似来自南美洲的APT组织，主要目标位于哥伦比亚境内，以及南美的一些地区，如厄瓜多尔和巴拿马。该组织自2018年被发现以来，持续发起针对哥伦比亚国家的政府部门、金融、保险等行业以及大型公司的定向攻击。

在对APT-C-36组织进行狩猎活动中发现近期APT-C-36组织使用加密自解压压缩包以及LNK文件等对目标人群进行鱼叉钓鱼攻击，经过进一步分析溯源发现APT-C-36组织长期针对南美洲国家使用多平台投递钓鱼文件分发多个开源RAT后门软件，结果表明该组织在不断更新自己的武器库以及攻击流程。

 一、攻击活动分析  

1.攻击流程分析  

攻击流程与以往不同的是在压缩包内打包了Keylogger键盘监控程序。    

2.恶意载荷分析  

1.          

2.          

攻击者通过将携带恶意文件链接的PDF文件通过邮件进行投递，同时在PDF文件中还标注了恶意压缩文件的压缩密码诱使用户信任，并访问恶意链接下载载荷文件解压运行。

（恶意链接hxxps://cdn[.]discordapp[.]com/attachments/1105473734833352788/1111284420977115186/RADICADO_0000369854.Uue）

下载的uue文件实则为rar压缩包，压缩包内套娃了一个拥有PDF文件图标且携带密码的自解压文件。

通过PDF诱饵文件上记录的密码成功运行自解压文件后将释放两个隐藏文件和一个诱饵PDF到计算机的%temp%文件夹内依次执行。

VBS文件中的代码数据使用无意义字符+字符连接的方式进行混淆。

VBS代码通过调用Powershell从远程服务器中请求loader资源数据解密并加载运行，随同释放的PDF文件为诱饵文件、PE文件则为德国公司Breaking Security的键盘记录工具。

         

3.攻击组件分析  

随同释放的PE文件为打包后的键盘记录工具。

MD5	56ACA38D92559ED7CD1A393A90BB7D27
文件名	Protected01.exe
文件大小	1257472 字节

德国公司Breaking Security除去大名鼎鼎的Remcos Rat后门软件外同时也发布了多款其它恶意工具以供订阅和下载，其中就有一款已进行开源的Viotto Binder软件。该软件由VB6进行编写意在将多个文件打包成一个文件执行，攻击者对开源的Viotto Binder代码进行修改将想要执行的恶意文件进行打包处理。

未修改前的Viotto Binder会将打包的资源放在资源段内并以“|viottobinder||vttbndr|”字符进行分割处理。

重编译前后打包文件结构对比。

经攻击者修改后打包的文件添加了虚拟环境、调试器检测和数据加密功能同时也对代码进行了混淆处理。

被打包的文件为德国公司Breaking Security的Viotto Keylogger键盘监控软件，打包文件运行后将主体文件复制到“C:WindowsSysWOW64word”目录重命名为“wordz.exe”并对其进行设置注册表持久化（HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRunRemcos），CC服务器使用duckdns进行中转日志保存于“C:ProgramDataremcoslog.dat”。

Viotto Keylogger具备对指定窗口进行过滤由用户决定窃取指定进程的用户键盘输入、对受害者机器进行屏幕监控、剪切板监控、FTP数据回传、邮箱数据回传等功能。

由自解压文件所执行的VBS脚本文件从攻击者服务器中请求数据解密得到loader数据内存载入指定入口运行。（http://91.213.50[.]74/GREEN/RX/nuevadll.txt）

MD5	55AEBC396DE35DBCDCA6D31947ADF04F
文件大小	10752 字节

将VBS进行复制到启动目录并创建计划任务进行持久化。

对远程服务器请求的数据进行字符处理。

解码远程服务器数据进行二次DLL加载。

将载荷数据处理后注入到RegAsm.exe运行，最终载荷是NjRat后门程序。

NjRat后门程序配置信息。

 二、归属研判   

APT-C-36(盲眼鹰)近年来常用的攻击手法是喜欢投递各类钓鱼邮件诱使受害用户下载携带密码的压缩包文件，压缩包内通常打包有一个混淆过的VBS脚本文件，脚本文件运行后可从远程服务器请求NjRat、AsyncRat等开源后门注入到正常程序中运行。从诱饵PDF文档的土耳其语、携带密码的压缩包文件、混淆过的VBS执行命令、远程服务器解码后得到的载荷、受影响用户地区分布等来看此次攻击活动与APT-C-36(盲眼鹰)组织高度相似。

值得注意的是另一个组织Hagga的TTP与APT-C-36(盲眼鹰)高度相似，也有友商表示Hagga与APT-C-36(盲眼鹰)存在某种联系或为APT-C-36(盲眼鹰)的子组在此就不过多阐述，且仅从此次活动中发现的受影响用户所在地区分布来看其主要为南美洲国家我们暂认定是APT-C-36(盲眼鹰)所为。

在对此次攻击活动中的IOC进行关联时我们发现IP（91.213.50[.]74）上挂载了大量载荷文件，并且其中挂载的文件从21年更新到至今，载荷对应的有NjRAT、ArrowRAT、ASyncRAT、Remcos、QuasarRAT等各类后门程序，其载荷的字符处理模式也于此次活动中使用的同出一辙。

 

继续对该IP进行挖掘时发现以LNK文件继续投递的案例。（e82d72d74ad409f6ed3cc0f5ceb62029）

Lnk文件调用powershell从远程服务器下载JS文件执行（travel-ag[.]com/JSnew）,JS代码中被攻击者插入了恶意代码用于下载恶意载荷运行。

对IP继续挖掘发现除去惯用的投递恶意邮件的攻击手法，疑还新增teams投递、恶意文档投递和渗透攻击命令执行攻击流，自此来看该组织在不断优化其攻击流，未来该组织或可能向复杂化演变。

         

附录 IOC

ad33ef06451e32263fec67bda2bf5491

9ebeddbc4932f8e4cf9d6dbc3d84459a

20a9ee686bccecd08d2bbdb293dc9600

ae0f6ecbfe3275603188c30e9d5ebc67

e82d72d74ad409f6ed3cc0f5ceb62029

6A1E7CCF1AD1F2B2C58D9B84F1D4BE9D

56ACA38D92559ED7CD1A393A90BB7D27

E6DF600AF59A848A8E6F1222BC6B10B7

C3E32C38B8A8CF706A29EB9E1A9A97A6

44E9AAF786001E31567DA53E6F7E1B8F

         

travel-ag[.]com

91.213.50[.]74

360高级威胁研究院

360高级威胁研究院是360数字安全集团的核心能力支持部门，由360资深安全专家组成，专注于高级威胁的发现、防御、处置和研究，曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击，独家披露多个国家级APT组织的高级行动，赢得业内外的广泛认可，为360保障国家网络安全提供有力支撑。

原文始发于微信公众号（360威胁情报中心）：APT-C-36（盲眼鹰）近期攻击手法分析