الخطوط العريضة

أعمى النسر (APT-C-36) كانت في فبراير 2019، و 360 تهديدا APT جديد من المنظمات منظمة على نطاق واسع للحكومة الكولومبية والمشاريع للإفصاح عن مركز المعلومات، المنظمة منذ عام 2018، واصلت لشن هجمات ضد كولومبيا، من خلال تنظيم متنكرا في زي الأعمال المرتبطة الضحية المستهدفة من الحكومة لإرسال الرسائل الإلكترونية الاحتيالية للضحايا، المرفق تنفيذها يسببها مع وحدات الماكرو الخبيثة. مرة واحدة تمكن الضحية وحدات الماكرو، سيتم تنفيذ التعليمات البرمجية للماكرو الخبيثة، وبالتالي سحب تنفيذ RAT وشيك مرة أخرى، وأجهزة الكمبيوتر الضحية السيطرة.

TTP جيزة

اسم المؤسسة مكفوفين النسر (APT-C-36) للاشتباه مصدر دول أمريكا الجنوبية استهدفت وكالات الحكومة الكولومبية والشركات الكبيرة (المالية والبترول، والصناعة التحويلية وغيرها من الصناعات) أساليب الهجوم متنكرا في زي الحكومة الكولومبية وكالات الحربة تسليم البريد باستخدام مستتر RAT وشيك

تحليل عينة

قطارة

اسم الملف Denuncia الظاهري أون سو contra.doc (رسوم افتراضية ضدك) مصدر MD59FB15F35F6C2BA4727CBA53FB95C1179 عينة https://app.any.run/tasks/8709d129-7acd-4e5c-81c0-110a3f4751fe

يقرأ وثيقة الطعم على النحو التالي:

باستخدام غوغل للعثور على المحتوى رمز الخريطة بحث لعرض رمز هو رمز للسلطة القضائية في كولومبيا.

تتم ترجمة اسم الملف ك "اتهامات باطلة ضد لك،" لذلك، شياو بيان تكهنات جريئة، ومحتوى الرسالة، وهجمات أقول تقريبا الضحية يجب ان توجه لهم اتهامات، والحاجة لعرض تفاصيل الاتصال المرفق. لتحقيق تنفيذ الملحق لحث على الضحايا.

يتم تشفير أيسر، وذلك باستخدام olevba يمكن حلها بنجاح الكلي:

على غرار نموذج الماكرو السابق، ومتابعة لتحميل حصان طروادة تنفيذها من

الفئران وشيك

ونحن سوف يعود المتابعة التالي طروادة، أولا على جهاز ظاهري يو ما:

السلوك سلسلة نظرة هو في الواقع الفئران وشيك، جهاز التحكم عن بعد عينات طروادة للالتجاري، الرسمي بيع العنوان: imminentmethods.net، تعمل الأوامر المعتمدة على النحو التالي:

وظيفة

إدارة المضيف bDfBqxDCINCfwSAfMnZwspLefnc

دعم المستخدمين ChatPacket

إدارة التسجيل cokLfFnjBwgKtzdTpdXSgQIPacR

خط CommandPromptPacket الأمر البعيد

ConnectionSocketPacket شبكة مدير قناة الإرسال

ExecutePacket تحميل وتنزيل، تنفيذ ملف PE

FastTransferPacket دعم نقل السريع

إدارة الملفات FilePacket F

دعم ileThumbnailGallery ملفات تصغير الصور

KeyLoggerPacket كيلوغرز

MalwareRemovalPacket إدارة ظيفة الخبيثة

رسائل الدردشة MessageBoxPacket

MicrophonePacket ميكروفون دردشة

حركات الماوس MouseActionPacket

MouseButtonPacket الماوس اليسار واليمين، ويمر، الخ

إدارة الشبكة المضيفة NetworkStatPacket

الاتصالات رأس البيانات PacketHeader المعلومات

PasswordRecoveryPacket الانتعاش متصفح كلمة المرور

PluginPacket المكونات في إدارة

إدارة عملية ProcessPacket

إدارة ProxyPacket عامل (وكيل عكسي، الخ)

RDPPacket توفير وظائف سطح المكتب البعيد

عمليات التسجيل RegistryPacket

RemoteDesktopPacket العلم البعيد الحزم سطح المكتب

ScriptPacket تنفيذ البرامج النصية (أتش تي أم أل، فبس، دفعة)

SpecialFolderPacketWindows المجلدات الخاصة

البنود StartupPacket عملية بدء التشغيل

TcpConnectionPacketTCP التحديث ومغلقة

ThumbnailPacket المصغرة ذات الصلة

عملية TransferHeader اتصال الاتصالات

WebcamPacket كاميرا ويب ذات الصلة

عملية WindowPacketWindows (تحديث، تكبير تصغير، الخ)

تحليل الارتباط

والهجمات TTP يكشف عنها من قبل هي في الأساس نفسه، المهاجم المقنعة مهاجمة وكالات الحكومة الكولومبية، تستخدم مستندات Office Word مع تنسيق MHTML الطعم وحدات الماكرو الخبيثة، وحدات الماكرو هي في الأساس نفسه.

الباب الخلفي هو أيضا الفئران وشيك، وC2: medicosco.publicvm.com يتم الإفصاح عن نشاط أي وقت مضى:

وبناء على الكشف عن المعلومات الاستخبارية وتحليل المعلومات المتعلقة التهديد، وتبين أن عينة ينتمي فعلا إلى APT-C-36.

اللجنة الاولمبية الدولية

MD5: 9fb15f35f6c2ba4727cba53fb95c1179 URL: eltiempocomco.com/f.jpg C2: medicosco.publicvm.com

إشارة

https://ti.360.net/blog/articles/apt-c-36-continuous-attacks-targeting-colombian-government-institutions-and-corporations/

* المؤلف: fuckgod، وأعيد طبعه من FreeBuf.COM