APT-C-36(盲眼鹰),是一个疑似来自南美洲的、主要针对哥伦比亚的APT组织,该组织自2018年持续发起针对哥伦比亚的攻击活动。近期,360高级威胁研究院监测到了多次该组织针对哥伦比亚国家发起的钓鱼邮件定向攻击,通过样本内部解密算法关联,我们判断两次行动都归属于盲眼鹰组织,在这两次攻击行动中,样本都经过层层解密释放,加大了传统查杀的难度。
1.1邮件附件ISO文件
本次攻击最初发现的邮件内容如下,附件携带一个ISO文件,ISO文件中打包恶意攻击组件。
1.2 Loader
LE-8726PDC.exe会进行三次自解密,得到最终的可执行文件,获取受害者主机信息,使用的邮件客户端和浏览器的Cookies/cookies.sqlite文件的窃密,并会每隔20min上传屏幕截图以及键盘击键记录到C2。
LE-8726PDC.exe对硬编码的数据使用base64解码后获得第二层PE文件OpenAsyncRetry。
OpenAsyncRetry解密LE-8726PDC.exe的资源文件之后获得第三层PE文件。
解密算法如下:
1.3后门程序
最终加载执行的是后门程序,该后门程序被高度混淆。通过调试发现后门程序主要功能如下:
-
获取目标计算机系统信息
-
屏幕截图
-
浏览器数据
-
键盘记录
-
植入其他攻击组件
检索本机安装的主流浏览器的User Data目录:
每20min抓取一次屏幕截图,保存在AppDataRoaming 路径。
屏幕截图如下:
获取受害者主机信息,连同抓取的屏幕截图JPEG进行发送:
2.1 PE伪装pdf文件
我们之前捕获该组织样本,把可执行文件的加载器伪装成pdf文件。
诱使用户点击后执行,解密释放内部存储的pe文件,进行下一阶段的攻击。文件内部隐藏的解密密钥与解密算法如下:
2.2 Loader
通过创建进程并传入参数命令行后,启动Loader进程继续解密资源节中隐藏的PE文件。
2.3后门程序
继续释放内部存储的PE文件,先解密内部隐藏的密钥,最后的解密算法为模16,释放最终的样本木马。这与我们之前监控到的攻击行动解密算法完全相同。
首先从文件自身资源中提取PE文件。
利用密钥异或进行第一次解密操作。
进行模16并异或运算解密出最终的后门文件,此处的模16并异或运算与上次行动的算法对比完全相同。
最后释放的是AsyncRAT,asyncRat远控不仅包括通讯、守护、隐藏、自启动等常见功能模块,而且还包含加密、反沙盒、反虚拟机、反分析、反调试等对抗模块,是一款相对比较成熟的异步通讯开源木马。
主要功能如下:
-
监控屏幕
-
键盘记录
-
窃取浏览器中保存的密码
-
文件管理
-
进程管理
-
开启摄像头
代码片段:
关联
行动2的解密算法
行动1的解密算法
MD5:
58F814EC9CD58A2460477270EC822D97
D7D4C0D46DE2910E6473E622F048EDC6
1E4AE7FF1FD387F6A54DCE49BDBE6C4B
758bd85a96463059b93327a36b3869b9
julian.linkpc.net
128.90.115.36
360高级威胁研究院
原文始发于微信公众号(360威胁情报中心):APT-C-36(盲眼鹰)针对哥伦比亚国家攻击简报