“盲眼鹰”新攻击活动：伪装为哥伦比亚司法部门 – 作者:fuckgod

概述

盲眼鹰（APT-C-36）是2019年2月，360威胁情报中心披露的针对哥伦比亚大型政企机构的新APT组织，该组织自2018年，持续发起针对哥伦比亚的攻击活动，该组织通过伪装成与目标受害者业务相关的政府部门对受害者发送钓鱼邮件，诱导其执行带有恶意宏的附件。一旦受害者启用宏，恶意宏代码便会执行，从而拉回Imminent RAT执行，控制受害者计算机。

简略TTP

样本分析

DROPPER

诱饵文档内容如下：

通过对内容图标使用谷歌以图搜图发现，该图标为为哥伦比亚司法部门的图标。

而文件名为翻译为“对你的虚假控告”，因此，小编大胆猜测，此次攻击活动的的邮件内容大致应该是告诉受害者被控告，需查看附件连接详细信息。从而达到诱导受害者执行附件。

宏被加密了，利用olevba可以成功解出宏：

宏与之前的样本类似，从http://eltiempocomco.com/f.jpg下载后续木马执行。

Imminent rat

将后续木马下回来，先放在虚拟机里溜溜马：

看行为中的字符串确实是Imminent rat，该样本为商业远控木马,官方的售卖地址：imminentmethods.net，支持的命令功能如下：

关联分析

与之前披露的攻击活动TTP基本一致，攻击者伪装成哥伦比亚政府机构进行攻击，都采用带有恶意宏的MHTML格式的Office Word诱饵文档，且宏也基本一致。

后门也同样是Imminent rat，且c2: medicosco.publicvm.com是之前活动披露过的：

基于公开的威胁情报信息关联分析，可见该样本确实属于APT-C-36。

Ioc

MD5:9fb15f35f6c2ba4727cba53fb95c1179
URL:eltiempocomco.com/f.jpg
C2:medicosco.publicvm.com

参考

https://ti.360.net/blog/articles/apt-c-36-continuous-attacks-targeting-colombian-government-institutions-and-corporations/

*本文作者：fuckgod，转载请注明来自FreeBuf.COM

来源：freebuf.com 2019-04-04 10:00:00 by: fuckgod