APT-C-36 – Blind Eagle
APT-C-36 (Blind Eagle) é uma organização APT suspeita de vir da América do Sul. Seus principais alvos estão localizados na Colômbia e em algumas áreas da América do Sul, como Equador e Panamá. Desde a sua descoberta em 2018, a organização continuou a lançar ataques direcionados contra departamentos governamentais, finanças, seguros e outras indústrias, bem como contra grandes empresas na Colômbia.
Durante o rastreamento da organização APT-C-36, descobrimos que a organização está constantemente testando novos fluxos de ataque e tentando adicionar o Trojan botnet Amadey ao seu arsenal.
1. Análise de atividades de ataque
Nas atividades diárias de caça, descobrimos que a organização APT-C-36 tentou recentemente adicionar o Trojan botnet Amadey ao seu fluxo habitual de ataque de spear phishing de PDF. O Trojan botnet Amadey é um Trojan botnet modular que apareceu à venda em fóruns de hackers russos por volta de outubro de 2018. Ele tem recursos de travessia de intranet, roubo de informações, execução remota de comandos, execução de scripts e ataques DDos.
1. Análise do processo de ataque
O fluxo de ataque do Trojan botnet Amadey foi usado nesta campanha.
2. Análise de entrega de carga
O documento PDF falso baixa um pacote compactado criptografado contendo um script VBS malicioso de um serviço de nuvem de terceiros.
Dados de código malicioso são incorporados ao VBS.
O código do script de exploração do Powershell é gerado pela substituição de caracteres especiais e descriptografado pelo beas64. O código do Powershell baixa duas cargas úteis de uma plataforma de terceiros para carregamento e execução.
3. Análise de componentes de ataque
Uma das duas cargas úteis é net_dll para carregamento de reflexão, que pode ser visto frequentemente usado pelo APT-C-36 em ataques anteriores, a outra é o Trojan botnet Amadey. Como um Trojan botnet relativamente completo, o Amadey tem: Sandbox, persistência, permissão aquisição, execução de script, controle remoto, roubo de dados e outras funções.
Net_dll
O script Powershell descriptografa os dados de carga útil net_dll baixando-os de uma plataforma de terceiros e chama o método CdWDdB.DKeSvl.NnIaUq para implementar o carregamento reflexivo. O net_dll é um componente comum do APT-C-36 e é usado principalmente para persistência e carregando o próximo estágio de execução da carga útil.
Após a execução do Net_dll, um script vbs e ps1 será criado na pasta% TEMP% do computador para persistência.
Crie tarefas agendadas para persistência.
Continue a baixar os dados de codificação de carga útil do próximo estágio da plataforma de terceiros, reverta os dados codificados, substitua caracteres especiais e decodifique em base64 os dados codificados para obter a carga útil do próximo estágio.
Os dados de carga útil net_dll processados são carregados reflexivamente chamando seu método KoAOkX.MXuuJb.WwQTZc.No segundo estágio, após a execução de net_dll, o Trojan AsyncRAT é injetado no processo do sistema para ser executado.
Amadey
Os dados codificados em base64 baixados pelo código de script Powershell de outra plataforma de terceiros são o Trojan botnet Amadey. Como um Trojan botnet relativamente completo, o Amadey possui: anti-sandbox, persistência, aquisição de permissão, execução de script, execução de comando, movimento lateral, Ataques DDos, roubo de dados e outros plug-ins funcionais.
MD5 | 461A67CE40F4A12863244EFEEF5EBC26 |
tamanho | 237056 (bytes) |
tipo | EXE WIN32 |
Depois de executar o Amadey distribuído, ele baixará três arquivos: cred.dll, clip.dll e onLyofFicED.bat. O arquivo dll é o componente de coleta de informações do Amadey e é usado para roubar dados de privacidade do usuário, como contas de navegador. O arquivo bat é para Scripts maliciosos executados.
Durante o processo de solicitação de arquivo, Amadey enviará campos específicos ao servidor CC com base nas informações atuais do computador.
Campo | significado |
id | ID da máquina infectada |
vs | Número da versão do Amadey |
sd | ID Amadey |
os | versão do sistema |
bi | Número de bits do sistema |
ar | Você tem direitos de administrador? |
pc | Nome do computador |
un | nome de usuário |
dm | Domínio atual |
av | Instale software antivírus |
lv | ObterTaskContent |
og | nenhum |
No arquivo bat, o invasor usa criptografia base64 + AES + Gzip para criptografar os dois programas executáveis e incorporá-los no arquivo de script.Depois que o script bat é executado, os dados do texto cifrado são localizados através do símbolo “:”, descriptografados e carregados em sequência.
Um dos programas executáveis é o criptografador CrubCrypt.Após a execução, ele Gzip descompacta os dados compactados Remcos do recurso e depois os carrega e executa.
2. Pesquisa e julgamento de atribuição
O arquivo PDF da isca usado neste incidente de spear phishing, o método de ofuscação de código malicioso usado e a carga subsequente são consistentes com aqueles usados pelo APT-C-36 em atividades anteriores.
Durante o rastreamento contínuo do APT-C-36, descobrimos que a organização continua a lançar ataques no Equador e em outras regiões, e tenta constantemente adicionar novas ferramentas de Trojan ao seu arsenal para melhorar suas capacidades de ataque. É previsível que o APT-C-36 volte a sua atenção para novas áreas no futuro, e as suas próprias capacidades de ataque se tornarão mais complexas.
461A67CE40F4A12863244EFEEF5EBC26
FDD66DC414647B87AA1688610337133B
5590C7E442E8D2BC857813C008CE4A6C
303ACDC5A695A27A91FEA715AE8FDFB8
FECB399CAE4861440DF73EAA7110F52C
C92A9FA4306F7912D3AF58C2A75682FD
57A169A5A3CA09A0EDE3FEDC50E6D222
05B99BEE0D8BA95F5CCB1D356939DAA8
64E6B811153C4452837E187A10D54665
c1eeb77920357a53e271091f85618bd9
autgerman.autgerman.com
http://213.226.123.14/8bmeVwqx/Plugins/cred.dll
http://213.226.123.14/8bmeVwqx/Plugins/clip64.dll
http://213.226.123.14/8bmeVwqx/index.php
http://213.226.123.14/8bmeVwqx/Plugins/cred64.dll
http://213.226.123.14/8bmeVwqx/Plugins/clip.dll
http://213.226.123.14/8bmeVwqx/index.php?scr=1
https://subirfact.com/onLyofFicED.bat
360 Instituto Avançado de Pesquisa de Ameaças
O 360 Advanced Threat Research Institute é o principal departamento de suporte de capacidade do 360 Digital Security Group. É composto por 360 especialistas seniores em segurança. Ele se concentra na descoberta, defesa, eliminação e pesquisa de ameaças avançadas. Foi o primeiro a capturar Double Kill , Double Star e Nightmare Formula globalmente. Conduziu muitos ataques de dia zero bem conhecidos na natureza e divulgou com exclusividade as ações avançadas de várias organizações nacionais de APT, ganhando amplo reconhecimento dentro e fora da indústria e fornecendo forte apoio para 360 to garantir a segurança da rede nacional.
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.