contour
Aveugle Aigle (APT-C-36) était en Février 2019, 360 nouvelles menaces APT de l'organisation à grande échelle du gouvernement colombien et les organisations d'entreprise pour la communication de centre d'information, l'organisation depuis 2018, ont continué à lancer des attaques contre la Colombie, à travers l'organisation déguisé en entreprise associée à la victime cible du gouvernement d'envoyer des e-mails de phishing aux victimes, leur annexe de mise en uvre induite avec des macros malveillantes. Une fois que la victime activer les macros, le code malveillant macro serait exécuté, tirant ainsi la mise en uvre de retour Imminent RAT, contrôle des ordinateurs des victimes.
TTP bref
Nom de l'organisation aveugle d'Eagle (APT-C-36) source présumée de pays sud-américains ciblé les agences gouvernementales colombiennes et les grandes entreprises (industries financières, pétrole, fabrication et autres) méthodes d'attaque déguisée en agences du gouvernement colombien harpon livraison du courrier en utilisant backdoor RAT Imminent
Analyse d'échantillon
GOUTTES
Nom du fichier Denuncia virtuel en su contra.doc (charges virtuelles contre vous) source MD59FB15F35F6C2BA4727CBA53FB95C1179 exemple https://app.any.run/tasks/8709d129-7acd-4e5c-81c0-110a3f4751fe
document de Bait se lit comme suit:
En utilisant Google pour trouver l'icône recherche sur la carte pour voir le contenu de l'icône est une icône de la justice colombienne.
Le nom du fichier est traduit par « fausses accusations contre vous », donc, Xiao Bian spéculation audacieuse, le contenu du message, les attaques de la victime à peu près dire devrait être mis en accusation, la nécessité de voir les détails de connexion de fixation. Pour parvenir à la mise en uvre de l'annexe à inciter les victimes.
Acer est crypté, en utilisant le olevba peut être résolu avec succès macro:
Semblable à la macro exemple précédent, suivi pour télécharger le cheval de Troie exécuté à partir
rat imminent
Nous serons de retour prochain suivi cheval de Troie, d'abord sur une machine virtuelle Yo Ma:
comportement Regardez chaîne est en effet rat Imminent, le contrôle à distance des échantillons de Troie à la vente commerciale, officielle Adresse: imminentmethods.net, commandes prises en charge fonctionnent comme suit:
fonction
bDfBqxDCINCfwSAfMnZwspLefnc gestion d'accueil
support utilisateur ChatPacket
cokLfFnjBwgKtzdTpdXSgQIPacR Registre de gestion
CommandPromptPacket ligne de commande à distance
gestionnaire de canal de transmission réseau ConnectionSocketPacket
ExecutePacket télécharger, exécuter le fichier PE
FastTransferPacket soutenir la transmission rapide
F gestion des fichiers FilePacket
soutien ileThumbnailGallery fichiers Galerie Miniature
KeyLoggerPacket keyloggers
la gestion des fonctions malveillantes MalwareRemovalPacket
Les messages de chat MessageBoxPacket
MicrophonePacket microphone dans le chat
mouvements de la souris MouseActionPacket
MouseButtonPacket souris à gauche, à droite, en passant, etc.
NetworkStatPacket gestion du réseau hôte
informations en-tête de communication de données PacketHeader
récupération de mot de passe du navigateur PasswordRecoveryPacket
plug-in de gestion PluginPacket
la gestion des processus ProcessPacket
ProxyPacket Agent de gestion (de proxy inverse, etc.)
RDPPacket fournir des fonctionnalités de bureau à distance
opérations de registre RegistryPacket
RemoteDesktopPacket drapeau à distance des paquets de bureau
ScriptPacket exécuter des scripts (html, VBS, batch)
SpecialFolderPacketWindows dossiers spéciaux
Les éléments de fonctionnement StartupPacket
TcpConnectionPacketTCP rafraîchissement et fermé
ThumbnailPacket miniature correspondante
opération de connexion de communication TransferHeader
WebcamPacket webcam liés
opération WindowPacketWindows (rafraîchissement, agrandir, réduire, etc.)
Analyse de corrélation
Et les attaques de TTP décrits précédemment sont fondamentalement les mêmes, l'attaquant Déguisé attaquer les agences gouvernementales colombiennes, utilisent des documents Office Word au format MHTML Bait macros malveillants et les macros sont fondamentalement les mêmes.
porte arrière est également rat Imminent et c2: l'activité est medicosco.publicvm.com jamais divulguée avant:
Sur la base de la divulgation des renseignements concernant les menaces et l'analyse des informations, montrant que l'échantillon appartient en réalité à APT-C-36.
cio
MD5: 9fb15f35f6c2ba4727cba53fb95c1179 URL: eltiempocomco.com/f.jpg C2: medicosco.publicvm.comréférence
https://ti.360.net/blog/articles/apt-c-36-continuous-attacks-targeting-colombian-government-institutions-and-corporations/
* L'auteur: fuckgod, tiré à part FreeBuf.COM