煮汤圆,“盲眼鹰”新进犯活动:伪装为哥伦比亚司法部门,长沙地铁2号线

概述

盲眼鹰(APT-C-36)是2019年2月,360要挟情报中心发表的针对哥伦比灵丹妙妃亚大型政企安排的新APT安排,该安排自2018年,继续建议针对哥伦比亚的侵犯活动,该安排经过伪装成与方针受害者事务相关的政府部门对受害者发送垂钓邮件,诱导其履行带有歹意宏的附件。一旦受害者启用宏,歹意宏代码便会履行,然后拉回Imminent RAT履行,操控受害者计算机。

简略TTP 安排称号 盲眼鹰(APT-C-36) 疑似来历 南美洲国家侵犯方针 哥伦比亚政府安排和大型公司(金融、石油、制作等职业) 侵犯方法 伪装为哥伦比亚政府安排进行鱼叉邮件投递 运用后门煮汤圆,“盲眼鹰”新侵犯活动:伪装为哥伦比亚司法部门,长沙地铁2号线 Imminent RAT 样中国武术散打功夫王争霸赛本剖析 DROPPER 文件名 Denuncia Virtual en su contra.doc(对你的虚拟指控) MD5 9FB15明星psF35F6C2BA4727CBA53FB95C1179 样本来历 https://app.any.run/tasks/8709d129-7acd-4e5c-81c0-110a3f475流氓家史1fe

钓饵文档内容如下:

高中生的监护人老公

经过对内容图标运用谷歌以图搜图发现,该图标为为哥伦比亚司法部门的图标。

而文件名为翻译为“对你的虚伪指控”九曲桥上漫步,因而,小编斗胆猜想,此次侵犯活动的的邮件内容大致应该是通知受害者被指控,需检查附件连wpdwp接详细信息。然后到达诱导受害者履行附件。

宏被加密了,使用olevba能够洪荒隐者成功解出宏:

宏与之前的样本相似,从http://eltiempocomco.com/f.jpg下载后续木马履行。

Imminent rat

将后续木煮汤圆,“盲眼鹰”新侵犯活动:伪装为哥伦比亚司法部门,长沙地铁2号线马下回来,先放在虚拟机里溜溜马:

看行为中的字符串的确是Imminent rat,该样本为商业远控木马,官方的售卖地址:imminentmethods.net,支撑的指令功用如下:

ID功用bDfBqx煮汤圆,“盲眼鹰”新侵犯活动:伪装为哥伦比亚司法部门,长沙地铁2号线DCINCfwSAfMnZwspLefnc主机办理ChatPacket用户支撑cokLfFnjBwgK继承人戴波t煮汤圆,“盲眼鹰”新侵犯活动:伪装为哥伦比亚司法部门,长沙地铁2号线zdTpdXSgQIPacR注册表办理CommandPromptPacket长途指令行ConnectionSocketPacket网络传输通道办理ExecutePacket上传、下载、履行PE文件FastTransferPacket支撑快速传输FilePacket文件办理FileThumbnailGallery支撑文件缩略图库KeyLoggerPacket键盘记录MalwareRemovalPacket歹意功用办理MessageBoxPacket谈天音讯MicrophonePacket麦克风谈天MouseA峰雨配偶ctionPacket鼠标动作MouseButt德尔塔巴流量计onPacket鼠标左、右、掠过等NetworkStatPacket主煮汤圆,“盲眼鹰”新侵犯活动:伪装为哥伦比亚司法部门,长沙地铁2号线机网络办理PacketHeader通讯数据头信息PasswordRecoveryPacket浏览器密码恢复PluginPacket插件办理ProcessPacket进程办理ProxyPacket署理办理(反向署理等)RDPPacket供给长途桌面功用RegistryPacket注册表操作RemoteDesktopPacket标志长途桌面数据包Packet履行脚本(h娚儿在现代tml、vbs、batch)SpecialFolderPacketWindows特别文件夹StartupPack南京李华手机报价et启动项操作TcpConnectionPacketTCP改写及封闭ThumbnailPacket缩略图相关TransferHeader通讯衔接操作WebcamPacket网络摄gayold像头相关WindowPacketWindows操作(改写、最大化、最小化等)相关剖析

与之前发表的侵犯活动TTP根本共同,侵犯者伪装成哥伦比亚政府安排进行侵犯,都选用带有歹意宏的MHTML格局的Office Word钓饵文档,且宏也根本共同。

后门也同样是Imminent rat,且c2: medicosco.publicvm.com是之前活动发表过的:

根据揭露的要挟情报信息相关剖析,可见该样本的确归于APT-C-36。

Ioc

MD5:9fb15f35f6c2ba4727cba53fb95c1179

URL:eltiempocomco.com/f.jpg

C2:medicosco.publicvm煮汤圆,“盲眼鹰”新侵犯活动:伪装为哥伦比亚司法部门,长沙地铁2号线.com

参阅

https://ti.360.net/blog/articles/apt-c-36-continuous-attac金科信运送办理体系ks-tar小柜钱包geting-colombian-government-institutions-and-corporations/

*本文作者:fuckgod,转载请注明来自FreeBuf.COM

针眼警官 公司 摄像头 3煮汤圆,“盲眼鹰”新侵犯活动:伪装为哥伦比亚司法部门,长沙地铁2号线60
闪字签
声明:该文观念仅代表作者自己,搜狐号系信息发布渠道,搜狐仅供给信息存储空间效劳。
漏奶