contour

Aveugle Aigle (APT-C-36) était en Février 2019, 360 nouvelles menaces APT de l'organisation à grande échelle du gouvernement colombien et les organisations d'entreprise pour la communication de centre d'information, l'organisation depuis 2018, ont continué à lancer des attaques contre la Colombie, à travers l'organisation déguisé en entreprise associée à la victime cible du gouvernement d'envoyer des e-mails de phishing aux victimes, leur annexe de mise en uvre induite avec des macros malveillantes. Une fois que la victime activer les macros, le code malveillant macro serait exécuté, tirant ainsi la mise en uvre de retour Imminent RAT, contrôle des ordinateurs des victimes.

TTP bref

Nom de l'organisation aveugle d'Eagle (APT-C-36) source présumée de pays sud-américains ciblé les agences gouvernementales colombiennes et les grandes entreprises (industries financières, pétrole, fabrication et autres) méthodes d'attaque déguisée en agences du gouvernement colombien harpon livraison du courrier en utilisant backdoor RAT Imminent

Analyse d'échantillon

GOUTTES

Nom du fichier Denuncia virtuel en su contra.doc (charges virtuelles contre vous) source MD59FB15F35F6C2BA4727CBA53FB95C1179 exemple https://app.any.run/tasks/8709d129-7acd-4e5c-81c0-110a3f4751fe

document de Bait se lit comme suit:

En utilisant Google pour trouver l'icône recherche sur la carte pour voir le contenu de l'icône est une icône de la justice colombienne.

Le nom du fichier est traduit par « fausses accusations contre vous », donc, Xiao Bian spéculation audacieuse, le contenu du message, les attaques de la victime à peu près dire devrait être mis en accusation, la nécessité de voir les détails de connexion de fixation. Pour parvenir à la mise en uvre de l'annexe à inciter les victimes.

Acer est crypté, en utilisant le olevba peut être résolu avec succès macro:

Semblable à la macro exemple précédent, suivi pour télécharger le cheval de Troie exécuté à partir

rat imminent

Nous serons de retour prochain suivi cheval de Troie, d'abord sur une machine virtuelle Yo Ma:

comportement Regardez chaîne est en effet rat Imminent, le contrôle à distance des échantillons de Troie à la vente commerciale, officielle Adresse: imminentmethods.net, commandes prises en charge fonctionnent comme suit:

fonction

bDfBqxDCINCfwSAfMnZwspLefnc gestion d'accueil

support utilisateur ChatPacket

cokLfFnjBwgKtzdTpdXSgQIPacR Registre de gestion

CommandPromptPacket ligne de commande à distance

gestionnaire de canal de transmission réseau ConnectionSocketPacket

ExecutePacket télécharger, exécuter le fichier PE

FastTransferPacket soutenir la transmission rapide

F gestion des fichiers FilePacket

soutien ileThumbnailGallery fichiers Galerie Miniature

KeyLoggerPacket keyloggers

la gestion des fonctions malveillantes MalwareRemovalPacket

Les messages de chat MessageBoxPacket

MicrophonePacket microphone dans le chat

mouvements de la souris MouseActionPacket

MouseButtonPacket souris à gauche, à droite, en passant, etc.

NetworkStatPacket gestion du réseau hôte

informations en-tête de communication de données PacketHeader

récupération de mot de passe du navigateur PasswordRecoveryPacket

plug-in de gestion PluginPacket

la gestion des processus ProcessPacket

ProxyPacket Agent de gestion (de proxy inverse, etc.)

RDPPacket fournir des fonctionnalités de bureau à distance

opérations de registre RegistryPacket

RemoteDesktopPacket drapeau à distance des paquets de bureau

ScriptPacket exécuter des scripts (html, VBS, batch)

SpecialFolderPacketWindows dossiers spéciaux

Les éléments de fonctionnement StartupPacket

TcpConnectionPacketTCP rafraîchissement et fermé

ThumbnailPacket miniature correspondante

opération de connexion de communication TransferHeader

WebcamPacket webcam liés

opération WindowPacketWindows (rafraîchissement, agrandir, réduire, etc.)

Analyse de corrélation

Et les attaques de TTP décrits précédemment sont fondamentalement les mêmes, l'attaquant Déguisé attaquer les agences gouvernementales colombiennes, utilisent des documents Office Word au format MHTML Bait macros malveillants et les macros sont fondamentalement les mêmes.

porte arrière est également rat Imminent et c2: l'activité est medicosco.publicvm.com jamais divulguée avant:

Sur la base de la divulgation des renseignements concernant les menaces et l'analyse des informations, montrant que l'échantillon appartient en réalité à APT-C-36.

cio

MD5: 9fb15f35f6c2ba4727cba53fb95c1179 URL: eltiempocomco.com/f.jpg C2: medicosco.publicvm.com

référence

https://ti.360.net/blog/articles/apt-c-36-continuous-attacks-targeting-colombian-government-institutions-and-corporations/

* L'auteur: fuckgod, tiré à part FreeBuf.COM