疑似南美盲眼鹰组织伪造司法文件投DcRat后门事件分析

    近期，我们监测到APT-C-36（盲眼鹰）组织针对哥伦比亚及南美地区发起的定向攻击。该组织自2018年被发现以来，持续对哥伦比亚国家的政府部门、金融、保险等行业以及大型公司进行攻击。我们发现，APT-C-36（盲眼鹰）近期通过伪造司法部门文件，使用UUE压缩包向目标人群或组织投放DcRat后门。攻击者通过钓鱼邮件诱使目标从第三方云平台下载携带恶意文件的UUE/ZIP等压缩包，其中内嵌自解压EXE文件，以西班牙语命名，伪造成司法部门文件。自解压EXE文件运行后会在%TEMP%目录下释放恶意脚本执行程序和恶意脚本文件，创建名为“google Update2024 Tas”的计划任务以实现持久化，并请求下一阶段的恶意脚本运行。混淆代码解混淆后，从第三方平台下载载荷并执行。攻击组件Dllskyfal.txt解码后为C#编译的dll文件，包含反虚拟机、持久化以及载荷加载等功能。DLL文件运行后会判断机器是否处于虚拟机环境，选择持久化方案，并下载AndeLoader载荷以及DcRat载荷，将DcRat注入到RegSvcs.exe进程中执行。DcRat是一种模块化的开源远控木马，能够灵活添加和部署恶意功能。此次攻击事件使用的诱饵文件和恶意代码混淆方式与APT-C-36以往活动中使用的一致，该组织持续活跃，针对使用西班牙语的人群及团体进行木马投递，不断开发新工具并完善攻击链。

原文链接:

http://rpfiles.threatexpert.cn:8100/%E7%9B%B2%E7%9C%BC%E9%B9%B0/reports/2024-11-20-APT-C-36%EF%BC%88%E7%9B%B2%E7%9C%BC%E9%B9%B0%EF%BC%89%E8%BF%91%E6%9C%9F%E4%BC%AA%E9%80%A0%E5%8F%B8%E6%B3%95%E9%83%A8%E9%97%A8%E6%96%87%E4%BB%B6%E6%8A%95DcRat%E5%90%8E%E9%97%A8%E4%BA%8B%E4%BB%B6%E5%88%86%E6%9E%90.pdf

原文始发于微信公众号（狼蛛安全实验室）：疑似南美盲眼鹰组织伪造司法文件投DcRat后门事件分析