APT-C-36(盲眼鷹),是一個疑似來自南美洲的、主要針對哥倫比亞的APT組織,該組織自2018年持續發起針對哥倫比亞的攻擊活動。近期,360高級威脅研究院監測到了多次該組織針對哥倫比亞國家發起的釣魚郵件定向攻擊,通過樣本內部解密算法關聯,我們判斷兩次行動都歸屬於盲眼鷹組織,在這兩次攻擊行動中,樣本都經過層層解密釋放,加大了傳統查殺的難度。
1.1郵件附件ISO文件
本次攻擊最初發現的郵件內容如下,附件攜帶一個ISO文件,ISO文件中打包惡意攻擊組件。
1.2Loader
LE-8726PDC.exe會進行三次自解密,得到最終的可執行文件,獲取受害者主機信息,使用的郵件客戶端和瀏覽器的Cookies/cookies.sqlite文件的竊密,並會每隔20min上傳屏幕截圖以及鍵盤擊鍵記錄到C2。
LE-8726PDC.exe對硬編碼的數據使用base64解碼後獲得第二層PE文件OpenAsyncRetry。
OpenAsyncRetry解密LE-8726PDC.exe的資源文件之後獲得第三層PE文件。
解密算法如下:
1.3後門程序
最終加載執行的是後門程序,該後門程序被高度混淆。通過調試發現後門程序主要功能如下:
獲取目標計算機系統信息
屏幕截圖
瀏覽器數據
鍵盤記錄
植入其他攻擊組件
檢索本機安裝的主流瀏覽器的User Data目錄:
每20min抓取一次屏幕截圖,保存在AppData\Roaming\ 路徑。
屏幕截圖如下:
獲取受害者主機信息,連同抓取的屏幕截圖JPEG進行發送:
2.1 PE偽裝pdf文件
我們之前捕獲該組織樣本,把可執行文件的加載器偽裝成pdf文件。
誘使用戶點擊後執行,解密釋放內部存儲的pe文件,進行下一階段的攻擊。文件內部隱藏的解密密鑰與解密算法如下:
2.2 Loader
通過創建進程並傳入參數命令行後,啟動Loader進程繼續解密資源節中隱藏的PE文件。
2.3後門程序
繼續釋放內部存儲的PE文件,先解密內部隱藏的密鑰,最後的解密算法為模16,釋放最終的樣本木馬。這與我們之前監控到的攻擊行動解密算法完全相同。
首先從文件自身資源中提取PE文件。
利用密鑰異或進行第一次解密操作。
進行模16並異或運算解密出最終的後門文件,此處的模16並異或運算與上次行動的算法對比完全相同。
最後釋放的是AsyncRAT,asyncRat遠控不僅包括通訊、守護、隱藏、自啟動等常見功能模塊,而且還包含加密、反沙盒、反虛擬機、反分析、反調試等對抗模塊,是一款相對比較成熟的異步通訊開源木馬。
主要功能如下:
監控屏幕
鍵盤記錄
竊取瀏覽器中保存的密碼
文件管理
進程管理
開啟攝像頭
代碼片段:
關聯
行動2的解密算法
行動1的解密算法
MD5:
58F814EC9CD58A2460477270EC822D97
D7D4C0D46DE2910E6473E622F048EDC6
1E4AE7FF1FD387F6A54DCE49BDBE6C4B
758bd85a96463059b93327a36b3869b9
julian.linkpc.net
128.90.115.36
360高級威脅研究院
留言列表