APT-C-36 近期活动

admin
admin
admin
138635
文章
114
评论
2025年3月19日18:33:00评论19 views字数 3581阅读11分56秒阅读模式
APT-C-36,又称盲鹰,是一个自 2018 年起便活跃的、从事间谍和网络犯罪活动的威胁组织,主要针对哥伦比亚及其他拉丁美洲国家的政府机构、金融机构和关键基础设施等组织。该高级持续性威胁(APT)组织以运用复杂社会工程策略著称,常借助携带恶意附件或链接的网络钓鱼电子邮件获取目标系统的初始访问权限,其恶意软件库包含 NjRAT、AsyncRAT 和 Remcos 等商品远程访问木马(RAT)。研究显示,它近期在工具包中增添了其他商品恶意软件,还利用 Packer-as-a-Service HeartCrypt 保护恶意可执行文件,用以打包一种疑似 PureCrypter 变体的.NET RAT,不过 Remcos RAT 依旧是其最终有效载荷。2024 年 11 月 12 日,微软修补了新发现的漏洞 CVE-2024-43451,此漏洞被广泛利用,借助含恶意代码的.url 文件,可通过右键单击、删除或拖放文件等不寻常用户操作触发,曾作为零日漏洞用于针对乌克兰的攻击,据 CERT-UA 称该活动归因于怀疑与俄罗斯有关的威胁行为者 UAC-0194。在微软发布补丁 6 天后,Blind Eagle 将该漏洞的变种纳入其攻击武器库和活动中,该变种虽未暴露 NTLMv2 哈希,但能告知威胁行为者文件是经不寻常用户文件交互下载的。在易受 CVE-2024-43451 攻击的设备上,甚至在用户以同样不寻常行为手动与.url 文件交互前,就会触发 WebDAV 请求。同时,在已修补和未修补的系统上,手动点击恶意文件均会启动下一阶段有效负载的下载与执行。将此文件纳入活动后,该组织主要针对哥伦比亚公共和私人组织,在 2024 年 12 月 19 日左右的活动中,感染受害者超 1600 名,鉴于 Blind Eagle 有针对性的 APT 攻击方式,这一感染率相当高。
2025 年 3 月,该组织近期活动中的攻击起始于.url 文件,这些文件会从 WebDAV 服务器下载一个初始下载器 。
APT-C-36 近期活动
在初始流量中检测到了恶意软件
APT-C-36 近期活动
下载器会与命令与控制(C2)服务器进行通信,然后从 GitHub 存储库下载最终载荷。
APT-C-36 近期活动
初始的 exe 程序由 WebDAV 进行托管,后续的 exe 程序则由 GitHub 负责托管,并且 GitHub 会对这些程序持续更新 。
APT-C-36 近期活动
最终的有效载荷通常是 Remcos 远程访问木马(RAT)、在这个威胁行为者的基础设施中发现了一个共享的 SSH 密钥。

共享 SSH 密钥:ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBHBbh48Fw679dkqkqWL6+e7v4dOq7Gd+6pRptPTznl28cBE2FY3X4nJgnLUQuJRzcGhEOSCDU8cp7P7El2ZNQfY=

与此次活动相关的观察到的 IP 地址和 TCP 端口:

  • 62.60.226[.]112:80
  • 191.88.252[.]140:30204
  • 191.88.252[.]140:30805

7 个 .url 文件的 SHA256 哈希值示例:

  • 47569431f421ff3ecf20a7898515ef4af78c27f3d53303a57f7c4f4225787191
  • 5335603a304e42c6fef4d2fe76cbb92cf1b136d2ec9bea5a648fc002f392f2b1
  • 5590b65c4114fc8bb0eecad6cfe83b5efb1c667e57507a2c699812e282563f13
  • 82788e1057e5d1634e5aa3d33b15b44899635a93c7da02ec96f6c793031b4dd1
  • a08f11d4a8fd48e6f2dd5a3b1ea281e579f3f04293e67da8adb2ccd7b74acedb
  • cec6dceccc5b3937ab34de1bdd3c66cfa58875459fc5174194c89b5c4fa133d6
  • f7cc357c11576175e97990254bbb03e9764879a47e6dfd1ffcf06fb1dd192aad

上述 .url 文件中的 7 个快捷方式:

  • file[:]//62.60.226[.]112@80file590_9883.exe
  • file[:]//62.60.226[.]112@80file2430_1471.exe
  • file[:]//62.60.226[.]112@80file877_6120.exe
  • file[:]//62.60.226[.]112@80file932_6199.exe
  • file[:]//62.60.226[.]112@80file2744_6673.exe
  • file[:]//62.60.226[.]112@80file4917_8531.exe
  • file[:]//62.60.226[.]112@80file7309_9071.exe

从上述 URL 中获取的可执行(exe)文件的 SHA256 哈希值:

  • 157f03405b2658baa1ee8f76f4801403ffdeb217df37d8d95e867787608de6e3
  • 346530ea86a7fb02e7184736ed67363d736ba4fab6ab70f79129a962e61dd8fa
  • 61fb41b9fcf85698908bd772155e7a3e27c8cc33e1ed233b67a3a3063f522b63
  • 7234b5f14e83326a2f3db2c5180624c8c30da0495020caa4c80e5d03f14ebb56
  • 83cc9395582825c673c7738afbb9f53a95b83aeb21365ad42703bcedf1ded219
  • bf4ce102f2685d5c2e1096de43ea95c8eeaebb7378486ed02541226f1c1ada83
  • e9df6fc0cd0fb856bd15a378653b76b33e9620735474daec01a413a205cf0832

从上述可执行文件中观察到的命令与控制(C2)服务器的域名:

  • computador12.ddns-ip[.]net

  • venitocamelo25.ddns-ip[.]net

  • 注意:上述两个域名都解析到 191.88.252 [.] 140。

上述可执行文件调用的进一步有效载荷 URL 示例:

  • hxxps[:]//github[.]com/fresas2025/fresa/raw/refs/heads/main/agropecuario.exe
  • hxxps[:]//github[.]com/fresas2025/fresa/raw/refs/heads/main/CON3.exe
  • hxxps[:]//github[.]com/fresas2025/fresa/raw/refs/heads/main/DesignsCornwall.exe
  • hxxps[:]//github[.]com/fresas2025/fresa/raw/refs/heads/main/frutas.exe
  • hxxps[:]//github[.]com/fresas2025/fresa/raw/refs/heads/main/salmon.exe

从上述 URL 中获取的可执行(exe)文件的 SHA256 哈希值:

  • 2ab78e5d801c37d36d0941f74105bbb49917a89761b104527acc594faf95dc3a
  • 4deec3644eb9b38695579cd49eed7628d750d49b8c3ea59ce3e4989a823813bf
  • 65d4f56e2813800de90ba1a3cbf13054fa238f233fc7b9db6a8caf1f2f987a90
  • ab9e926e4df55e4791b87167c7af7d58817e9b69b55cbaa8b54ce1ed3b032736
  • dd3706144ba3f88dd1606e7d06e6b0ecc4b848108a5eb6c5612b8912da3bc6c2

从上述可执行文件中观察到的命令与控制(C2)服务器的域名:

  • asdasdsf.con-ip[.]com

  • usuariofebrero25.dedyn[.]io

  • 注意:与其他 C2 域名一样,上述两个域名也都解析到 191.88.252 [.] 140。

与此次活动相关的其他命令与控制(C2)服务器信息:

  • activistascol25.myonlineportal[.]net
  • Camino003.duia[.]eu
  • 177.255.84[.]37

原文始发于微信公众号(Khan安全团队):APT-C-36 近期活动

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月19日18:33:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   APT-C-36 近期活动https://cn-sec.com/archives/3858292.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息