الخطوط العريضة
أعمى النسر (APT-C-36) كانت في فبراير 2019، و 360 تهديدا APT جديد من المنظمات منظمة على نطاق واسع للحكومة الكولومبية والمشاريع للإفصاح عن مركز المعلومات، المنظمة منذ عام 2018، واصلت لشن هجمات ضد كولومبيا، من خلال تنظيم متنكرا في زي الأعمال المرتبطة الضحية المستهدفة من الحكومة لإرسال الرسائل الإلكترونية الاحتيالية للضحايا، المرفق تنفيذها يسببها مع وحدات الماكرو الخبيثة. مرة واحدة تمكن الضحية وحدات الماكرو، سيتم تنفيذ التعليمات البرمجية للماكرو الخبيثة، وبالتالي سحب تنفيذ RAT وشيك مرة أخرى، وأجهزة الكمبيوتر الضحية السيطرة.
TTP جيزة
اسم المؤسسة مكفوفين النسر (APT-C-36) للاشتباه مصدر دول أمريكا الجنوبية استهدفت وكالات الحكومة الكولومبية والشركات الكبيرة (المالية والبترول، والصناعة التحويلية وغيرها من الصناعات) أساليب الهجوم متنكرا في زي الحكومة الكولومبية وكالات الحربة تسليم البريد باستخدام مستتر RAT وشيك
تحليل عينة
قطارة
اسم الملف Denuncia الظاهري أون سو contra.doc (رسوم افتراضية ضدك) مصدر MD59FB15F35F6C2BA4727CBA53FB95C1179 عينة https://app.any.run/tasks/8709d129-7acd-4e5c-81c0-110a3f4751fe
يقرأ وثيقة الطعم على النحو التالي:
باستخدام غوغل للعثور على المحتوى رمز الخريطة بحث لعرض رمز هو رمز للسلطة القضائية في كولومبيا.
تتم ترجمة اسم الملف ك "اتهامات باطلة ضد لك،" لذلك، شياو بيان تكهنات جريئة، ومحتوى الرسالة، وهجمات أقول تقريبا الضحية يجب ان توجه لهم اتهامات، والحاجة لعرض تفاصيل الاتصال المرفق. لتحقيق تنفيذ الملحق لحث على الضحايا.
يتم تشفير أيسر، وذلك باستخدام olevba يمكن حلها بنجاح الكلي:
على غرار نموذج الماكرو السابق، ومتابعة لتحميل حصان طروادة تنفيذها من
الفئران وشيك
ونحن سوف يعود المتابعة التالي طروادة، أولا على جهاز ظاهري يو ما:
السلوك سلسلة نظرة هو في الواقع الفئران وشيك، جهاز التحكم عن بعد عينات طروادة للالتجاري، الرسمي بيع العنوان: imminentmethods.net، تعمل الأوامر المعتمدة على النحو التالي:
وظيفة
إدارة المضيف bDfBqxDCINCfwSAfMnZwspLefnc
دعم المستخدمين ChatPacket
إدارة التسجيل cokLfFnjBwgKtzdTpdXSgQIPacR
خط CommandPromptPacket الأمر البعيد
ConnectionSocketPacket شبكة مدير قناة الإرسال
ExecutePacket تحميل وتنزيل، تنفيذ ملف PE
FastTransferPacket دعم نقل السريع
إدارة الملفات FilePacket F
دعم ileThumbnailGallery ملفات تصغير الصور
KeyLoggerPacket كيلوغرز
MalwareRemovalPacket إدارة ظيفة الخبيثة
رسائل الدردشة MessageBoxPacket
MicrophonePacket ميكروفون دردشة
حركات الماوس MouseActionPacket
MouseButtonPacket الماوس اليسار واليمين، ويمر، الخ
إدارة الشبكة المضيفة NetworkStatPacket
الاتصالات رأس البيانات PacketHeader المعلومات
PasswordRecoveryPacket الانتعاش متصفح كلمة المرور
PluginPacket المكونات في إدارة
إدارة عملية ProcessPacket
إدارة ProxyPacket عامل (وكيل عكسي، الخ)
RDPPacket توفير وظائف سطح المكتب البعيد
عمليات التسجيل RegistryPacket
RemoteDesktopPacket العلم البعيد الحزم سطح المكتب
ScriptPacket تنفيذ البرامج النصية (أتش تي أم أل، فبس، دفعة)
SpecialFolderPacketWindows المجلدات الخاصة
البنود StartupPacket عملية بدء التشغيل
TcpConnectionPacketTCP التحديث ومغلقة
ThumbnailPacket المصغرة ذات الصلة
عملية TransferHeader اتصال الاتصالات
WebcamPacket كاميرا ويب ذات الصلة
عملية WindowPacketWindows (تحديث، تكبير تصغير، الخ)
تحليل الارتباط
والهجمات TTP يكشف عنها من قبل هي في الأساس نفسه، المهاجم المقنعة مهاجمة وكالات الحكومة الكولومبية، تستخدم مستندات Office Word مع تنسيق MHTML الطعم وحدات الماكرو الخبيثة، وحدات الماكرو هي في الأساس نفسه.
الباب الخلفي هو أيضا الفئران وشيك، وC2: medicosco.publicvm.com يتم الإفصاح عن نشاط أي وقت مضى:
وبناء على الكشف عن المعلومات الاستخبارية وتحليل المعلومات المتعلقة التهديد، وتبين أن عينة ينتمي فعلا إلى APT-C-36.
اللجنة الاولمبية الدولية
MD5: 9fb15f35f6c2ba4727cba53fb95c1179 URL: eltiempocomco.com/f.jpg C2: medicosco.publicvm.comإشارة
https://ti.360.net/blog/articles/apt-c-36-continuous-attacks-targeting-colombian-government-institutions-and-corporations/
* المؤلف: fuckgod، وأعيد طبعه من FreeBuf.COM