【安全资讯】APT-C-36组织针对南美实体的网络钓鱼邮件活动

引言

研究人员分享了APT-C-36组织（Blind Eagle）针对南美实体的垃圾邮件活动的新发现。APT-C-36 使用远程访问工具向南美洲的各个实体发送网络钓鱼电子邮件，邮件以“银行账户扣押令”或“伴侣外遇照片”为主题，诱使收件人打开附件。近日，研究人员发现APT-C-36组织在攻击活动中使用了名为 BitRAT 的 RAT。

引言

电子邮件冒充哥伦比亚国家税务和海关总局，声称“已发出银行账户扣押令”，电子邮件附件中包含更多详细信息，电子邮件如下：

此活动中的其他电子邮件声称包含可以证明收件人的伴侣有外遇的照片。以类似的方式，要求收件人打开名为“attached picture.jpg”的电子邮件附件。

这些网络钓鱼电子邮件中的交付文件是包含链接的 PDF 文件或 DOCX 文件，该链接是从 URL 缩短器生成的。APT-C-36组织在活动中使用了名为 BitRAT 的 RAT，BitRAT 的主要可执行文件中有两个十六进制字符串：较长的字符串是加密配置，较短的字符串是密钥的第一部分。与大多数其他恶意软件不同，BitRAT 使用Camellia密码，需要几个计算步骤来获得最终密钥。此前，APT-C-36曾在攻击活动中使用过多种RAT，包括njRAT、Imminent Monitor、自定义的ProyectoRAT、Warzone RAT、Async RAT、Lime RAT、Remcos RAT以及BitRAT。

总结

APT-C-36组织的大部分目标位于哥伦比亚，以及一些其他南美国家，如厄瓜多尔、西班牙和巴拿马。尽管 APT-C-36 的目标仍不明确，但研究人员认为攻击者开展此活动是为了获得经济利益。该活动影响了多个行业，主要是政府、金融和医疗保健实体，也影响了金融、电信以及能源、石油和天然气行业。