APT-C-36(盲眼鹰)是一个疑似来自南美洲的APT组织,主要目标位于哥伦比亚境内,以及南美其他的国家和地区,如厄瓜多尔和巴拿马。该组织自2018年被发现以来,曾持续发起针对哥伦比亚的攻击活动。即使安全厂商在近两年接连捕获并披露其攻击活动,但也未曾阻止APT-C-36的行动和潜伏,其攻击反而有越演越烈的趋势。
近期,360高级威胁研究院在日常情报挖掘中发现并捕获到了盲眼鹰针对哥伦比亚地区的攻击行动。该组织一如既往地采用鱼叉攻击,以PDF文件作为入口点,诱导用户点击文档里面的恶意链接下载RAR压缩包文件。该压缩包文件需要输入诱饵文档中的提示密码才能解压,解压后是伪装成PDF文件图标的VBS脚本。该脚本被用户点击执行后将开启一段复杂多阶段的无文件攻击链,最终加载的是LimeRAT远控木马,而没有使用前期的AsyncRAT、NjRAT远控木马,这都表明该组织攻击武器丰富多样化,不同时期会使用不同的攻击木马。
一、受影响情况
基于我们捕获的攻击样本显示,攻击者主要伪装成哥伦比亚海关局、援助局、国家司法部门,对哥伦比亚的政府机构及实体公司进行攻击,部分伪装内容如下图所示:
当受害者单击PDF文件的链接时,他们将被重定向到 dian.server.tl、cutty.ly等网站,以欺骗受害者下载恶意程序。下载的RAR文件名为西班牙语(哥伦比亚官方语言),并且文件名也具有诱惑性且符合攻击目标关心的话题,如Fiscalia_informe_citaciones-pdf.uue,这些方式都是为了进一步诱导用户执行最终的载荷。
二、攻击活动分析
1.攻击流程分析
上图显示了本次攻击的完整流程。攻击者发送钓鱼邮件诱导用户下载恶意压缩包文件,执行其中的VBS脚本,脚本会内存加载远端下载的第一阶段DLL,该DLL继续内存加载第二阶段DLL。为了隐藏最终恶意代码,第二阶段DLL会将LimeRAT木马注入到傀儡进程InstallUtil.exe中执行。最后加载的木马程序与C2服务器建立通信,以实现窃密功能。
2.载荷投递分析
该组织以钓鱼邮件的方式向受害者发送诱饵文件,诱导点击下载含有恶意样本的压缩包文件,本次捕获到的部分恶意样本如下所示。
MD5
|
文件名
|
ee03d9324ba659b816701b402d2cd2e6
|
Asuntos_DIAN_N369310019372001L012-25-01-2023-pdf.uue
|
408a36eeb89424376a949780e058a153
|
Fiscalia_informe_citaciones-pdf.uue
|
0a1d5dd525ec7887844fe817b1af7252
|
CITACION_FISCALIA_DETALLES-PDF.uue
|
以其中之一(MD5:408a36eeb89424376a949780e058a153)进行分析说明。样本为RAR类型的压缩包文件,使用提示密码“2023”解压出伪装成PDF文件名的VBS脚本文件。
去除混淆后,最后主要执行代码如下所示,其作用是从地址http://5.42.199.235/dll/dll3.txt下载第一阶段DLL,并加载其CdWDdB.DKeSvl类的NnIaUq方法。
3.攻击组件分析
第一阶段DLL(MD5:37cbcc00fc753d6dd983bce063ba5944)
DLL被加载时先将初始VBS脚本文件复制到系统启动目录下并改名为Tewelches.vbs,接着创建计划任务每分钟执行一次Tewelches.vbs,以此实现驻留。
紧接着从地址http://5.42.199.235/pe/Rudepe.txt下载载荷,对其替换指定字符串并解码得到第二阶段DLL文件(MD5:a8fffafc3e922f1c59f0a414253b9ca9)。然后调用KoAOkX.MXuuJb类的WwQTZc方法,并传入两个参数,分别是“C:\Windows\Microsoft.NET\Framework \v4.0.30319 \InstallUtil.exe”(被注入程序)和最终恶意载荷(由VBS脚本传入的远端链接参数https://cdn.discordapp.com/attachments/1087563786598228000/1087563972309430343/server7777.txt下载得到)。
第二阶段DLL主要功能是通过创建InstallUtil.exe进程,向其注入下载的恶意载荷,以此达到隐藏进程的目的。其中注入的恶意载荷信息如下。
MD5
|
c729997a7d910687b53b3f97d86d850c
|
文件大小
|
32KB (32768 字节)
|
编译时间
|
2023-03-14 12:09:41
|
经过分析该载荷属于LimeRAT,是一款开源工具(https://github.com/NYAN-x-CAT/Lime-RAT),其具有多种功能包括:DDoS攻击、勒索攻击、挖矿、文件管理、密码窃取、数据窃取、键盘记录、远程桌面、下载其他组件等。
本次加载的样本由开源LimeRAT魔改得来,其执行时首先创建互斥体“e852552187”,以保证单一进程。接着创建线程获取HWID、计算机名、用户名、操作系统版本以及是否存在摄像头等信息发送至system88.duckdns.org:7777,随后等待服务器返回信息并解析其指令执行相应操作,相关指令如下所示。
指令
|
功能
|
ll
|
关闭连接
|
kl
|
发送键盘记录
|
Prof
|
注册表操作
|
rn
|
上传文件并执行
|
inv
|
下发插件并启用start方法
|
ret
|
插件下发
|
CAP
|
屏幕截图
|
un
|
卸载或终止执行
|
up
|
上传执行文件并卸载自身
|
Ex
|
下发插件并启用ind方法
|
PLG
|
给插件设置域名和端口号
|
三、归属研判
通过详细分析样本,发现本次攻击样本和APT-C-36(盲眼鹰)组织前期攻击组件相似度较高。
1) 本次攻击整体流程与前期攻击样本很相似,攻击载体均使用有密码的RAR文件,解压密码由诱饵文档给出,并且部分解压密码还是单纯的四位数字,不过也有部分载荷解压密码包含了字母。解压后得到的VBS代码执行流程也基本类似,只是代码混淆方式有所加强。此外,本次样本和之前样本在下载后期载荷的代码处理上也十分类似,都是先逆序URL再下载然后对其替换字符串,并且传递最终载荷的参数名都为“QBXtX”,如下图所示;
2) 压缩包文件名称、诱饵文档名称、伪装信息都是西班牙语(哥伦比亚官方语言),文件名称也都具有诱惑性,并且攻击样本来源显示为哥伦比亚,这些信息都与盲眼鹰的攻击目标一致,且符合盲眼鹰非常了解西班牙语群体的特点。此外,恶意RAR样本在命名上也很有特点,文件名中常带有多个下划线和“pdf”字符串,如本次攻击中涉及到的某个样本名称为Fiscalia_informe_citaciones-pdf.uue,在前期披露的盲眼鹰攻击样本中,也发现此类命名方式;
3) 整个执行过程中有部分中间载荷采用cdn.discordapp.com下载,此前活动中也存在此类情况,并且域名dns为duckdns.org也与盲眼鹰在之前的攻击活动相关联。
https://cdn.discordapp.com/attachments/1022113554331078670/1067418039643029504/NOMADA66.txt
navy3466.duckdns.org:3466
https://cdn.discordapp.com/attachments/958218348804587533/963037127979958332/1988ENVIOS.txt
remcosos.duckdns.org:1988
综上,将本轮攻击行动归属到APT-C-36(盲眼鹰)组织。
APT-C-36(盲眼鹰)组织长期针对哥伦比亚及周边国家进行攻击,并且将部分恶意代码托管到公共服务平台如cutty.ly,以便隐藏攻击痕迹。并且在伪装内容及文件名称都采用了相对应的主题,以便受害者放松警惕。此外,RAR压缩包文件具有密码,也能更好的绕过部分杀毒软件的查杀。
本轮攻击加载的最终程序为LimeRAT远控木马,并没有使用前期多次投放的AsyncRAT、NjRAT远控木马,这都表明该组织攻击武器丰富多样化,并且持续地进行更新恶意代码的功能和形态,以便在不同时期使用不同载荷。需要注意的是,本文披露的相关恶意代码、C&C只是APT-C-36(盲眼鹰)组织部分攻击过程中的部分载荷,该组织不会因为一次攻击行动的暴露而停止活动,反而会持续更新其载荷。
在这里提醒用户加强安全意识,不要被伪装邮件以及伪装的文档、欺骗性标题所迷惑,在毫无防范的情况下被攻陷,进而泄漏机密文件、重要情报。
bd56581e6aa04b2d326b7fa61d9de59a
408a36eeb89424376a949780e058a153
9ded311dac84544b04effd5b1dd681d7
37cbcc00fc753d6dd983bce063ba5944
a8fffafc3e922f1c59f0a414253b9ca9
c729997a7d910687b53b3f97d86d850c
8c9632cc3a6b9b200c32eadf2037a531
0a1d5dd525ec7887844fe817b1af7252
5eb6422f2f4ae238c60edf75377c9e04
5965fa1361155000888622ca96432640
692cd90172c6a9240cdde544d6713870
3972586335e83be79e905cab43d414d9
e4d2799f3001a531d15939b1898399b4
ee03d9324ba659b816701b402d2cd2e6
bf64019b71314c23a196630d1b6152bc
364dacb44dda0e9ec89222f1bbae9497
07af8778de9f2bc53899aac7ad671a72
118411d5968fa6e408f80d1663ae77ee
http://5.42.199[.]235/dll/dll3.txt
http://5.42.199[.]235/pe/Rudepe.txt
http://172.174.176[.]153/rump/Rump.xls
http://172.174.176[.]153/dll/NoStartUp.ppam
https://cdn.discordapp[.]com/attachments/1087563786598228000/1087563972309430343/server7777.txt
https://cdn.discordapp[.]com/attachments/1022113554331078670/1067418039643029504/NOMADA66.txt
https://cdn.discordapp[.]com/attachments/1079592473334120587/1079594128616214568/SYSTEM88888888888888888888888MARZOOOOOOOOOOO.txt
system88.duckdns[.]org:7777
navy3466.duckdns[.]org:3466
360高级威胁研究院
360高级威胁研究院是360数字安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。
原文始发于微信公众号(360威胁情报中心):APT-C-36(盲眼鹰)组织针对哥伦比亚地区部署LimeRAT组件