【安全资讯】疑似APT-C-36组织针对哥伦比亚用户的攻击活动
引言
APT-C-36组织又名盲眼鹰,是一个疑似来自南美洲的、主要针对哥伦比亚的APT组织,该组织自2018年持续发起针对哥伦比亚的攻击活动。近日,研究人员发现并捕获到了疑似APT-C-36组织的攻击行动,恶意文档最终释放RAT对中招机器进行远程控制,已有国外哥伦比亚用户受到了影响。
简况
样本标题为FACTURACION-PDF-10-AGOSTO-2021.xlam,包含在多个压缩包中,压缩包的名字被伪装成了各种金融、政府相关标题,并且所有的文件名称都是西班牙语。此次捕获到的恶意表格文档内部没有内容,如果有不谨慎的用户随意点击了“启用宏”的按钮,其内部的宏代码就已经开始自动执行。安全声明如下图:
宏代码是一段base64编码的powershell脚本。脚本解码后同样是一段powershell代码,内部隐藏着base64代码通过iex调用执行。最后运行的是一段downloader脚本,首先利用循环尝试躲避沙箱检测,然后利用PowerShell的bitstransfer远程文件传输,下载后续载荷。
释放的RAT是商业开源的asyncRAT,其功能有剪贴板监控、键盘记录、进程管理、远程Shell、反沙箱、反虚拟机、反分析和反调试等。后续所有远控功能代码,都是被封装在不同的DLL模块中有选择性的下发;并且在中招机器上以内存加载执行,这样做能够有效的免杀和绕过安全机制。
由于以下原因,研究人员认为此样本疑似归因于APT-C-36组织:
- 最终释放的RAT远控在之前APT-C-36组织的攻击活动中被使用。
- 诱饵文档的文件名称都是西班牙语,而且尝试伪装的信息、意图攻击的目标都与之前APT-C-36组织的目标一致,这一点符合APT-C-36组织是一个非常了解西班牙语的群体的特点。
- 最终CC的IP地址所在地为哥伦比亚,之前APT-C-36组织使用的所有IP地址均归属于哥伦比亚,与该组织早期活动的IP地理位置相同。
- 域名dns为duckdns[.]org也与APT-C-36组织在之前的攻击活动相关联。
总结
在APT-C-36组织的活动中,钓鱼邮件一直是其重要的攻击前置手段,钓鱼邮件也是APT攻击入口的重要手段,大多数用户安全意识不强,很容易被伪装邮件以及伪装的文档、欺骗性标题所迷惑,在毫无防范的情况下被攻陷,进而泄漏机密文件、重要情报,影响政治、经济、军事的走向与决定。