APT-C-36新动向:揭露持续攻击南美对象的活动 - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com

APT-C-36新动向:揭露持续攻击南美对象的活动

lucywang 新闻 2021-09-16 11:50:00
262147
收藏

导语:APT-C-36组织自从2018年4月就被发现开始针对南美的哥伦比亚政府机构和大型公司(金融、石油、制造等行业)发起有组织、有计划、针对性的长期不间断攻击。

APT-C-36组织自从2018年4月就被发现开始针对南美的哥伦比亚政府机构和大型公司(金融、石油、制造等行业)发起有组织、有计划、针对性的长期不间断攻击。

2018年4月,就有研究人员捕获到了第一个针对哥伦比亚政府的定向攻击样本,在此后近一年时间内,我们又先后捕获了多起针对哥伦比亚政企机构的定向攻击。攻击者习惯将带有恶意宏的MHTML格式的Office Word诱饵文档通过RAR加密后配合鱼叉邮件对目标进行投递,然后将RAR解压密码附带在邮件正文中,具有很好的躲避邮件网关查杀的效果。

如上所述,APT-C-36使用公开的远程访问工具(RAT)向南美的各种对象发送钓鱼电子邮件。随着时间的推移,攻击者会使用的RAT病毒已经进行了迭代。这与过去研究人员观察到APT-C-36利用大大不同,过去的RAT的功能如下:

njRAT,njRAT,也被称为Bladabindi,是一种远程访问木马(RAT,remote access Trojan),于2013年首次出现,并迅速成为了最流行的恶意软件家族之一。它将动态DNS用于命令与控制(C&C)服务器,并通过可配置端口使用自定义TCP协议进行通信。

Imminent Monitor,Imminent Monitor RAT,一个商业远控,可让网络犯罪分子远程完全控制受害者的计算机。2019年11月欧洲刑警组织今天宣布关闭Imminent Monitor RAT背后的网络犯罪组织构建的攻击网络——Imminent Monitor RAT。

A custom modified ProyectoRAT。

Warzone RAT,Warzone RAT是功能强大的MaaS,由于其丰富的功能集而变得非常流行。

Async RAT,Async RAT远控不仅包括通讯、守护、隐藏、自启动等常见功能模块,而且还包含加密、反沙盒、反虚拟机、反分析、反调试等对抗模块,是一款相对比较成熟的异步通讯开源木马。本文主要目的是发现asyncRat木马的通讯建立过程及数据包格式。被控端运行后,当被控端数据 穿透被控主机防护后,控制端将接收到被控端主机的IP地址、国家、ID、用户名、操作系统、net版本、权限、杀毒软件、系统性能等基本信息。

Lime RAT,LimeRAT是一款功能强大的远程管理工具,也是Github上免费提供的一个开源项目,任何互用户都可以使用。

Remcos RAT (被Trend Micro检测为BKDR_SOCMER.SM)。

BitRAT。

发送钓鱼电子邮件

APT-C-36对攻击目标采用了不同的攻击策略:许多欺诈性电子邮件冒充哥伦比亚国家税务和海关总局Dirección de Impuestos y Aduanas Nacionales (DIAN),这是攻击者以前使用过的诱饵。这些电子邮件声称“已经发出了对银行账户的扣押令”,电子邮件附件中包含更多详细信息,并且该信息受到密码“dian”的保护。附件的英文是“seizure order.pdf”,电子邮件正文翻译如下:

1.png

一封冒充哥伦比亚国家税务海关总局的电子邮件

下面这个攻击攻击活动中的虚假电子邮件则声称包含一张照片,可以证明收件人的伴侣有外遇。攻击者以类似的方式,要求收件人打开名为“attached picture.jpg”的电子邮件附件,并使用密码“foto”查看其内容。这些电子邮件的内容缺乏适当的标点符号,而且写得很糟糕,这是网络钓鱼尝试中的一个常见特征。这封电子邮件的英文翻译如下:

2.png

一封伪装成分享个人照片的电子邮件

发件人的电子邮件地址要么是冒充 DIAN 的虚假地址,要么是冒充虚假女性个人资料的 Hotmail.com 地址。发起IP地址总是被归咎于VPN提供商。

钓鱼文档

这些钓鱼邮件中的文档要么是PDF文件,要么是包含链接的DOCX文件。研究人员发现了这些文件的样本冒充 DIAN,其他文档冒充 Google 相册。

3.png

带有链接到URL缩短网址的电子邮件附件

将鼠标悬停在链接上方将显示该链接是从URL缩短器生成的。APT-C-36以前也使用URL缩短器,例如 cort.as、acortaurl.com 和 gtly.to。这些 URL 缩短器能够进行地理定位,因此如果来自攻击者未针对的国家/地区的用户点击链接,他们将被重定向到合法网站。 URL缩短器还具有检测主要VPN服务的功能,在本文的示例中,缩短的链接会将用户重定向到合法网站,而不是重定向到恶意链接,如下图所示。

4.png

地理定位检测到一个非哥伦比亚的IP或VPN,所以用户被重定向到真正的DIAN网站

5.png

地理定位检测到一个非哥伦比亚的IP或VPN,所以用户被重定向到真正的Google 相册网站

但是,如果满足地理位置条件,则用户将被重定向到文件托管服务器并自动下载文件。

微信截图_20210914185222.png

包含受密码保护的压缩文件存储

下载的文件是一个受密码保护的压缩文件,其密码在电子邮件、电子邮件附件或两者中都有被提到。这些密码通常很简单,比如“dian”、“foto”或“1234”。

有效载荷

在对密码保护的压缩文件中的可执行文件进行解混淆后,研究人员将看到一个名为BitRAT的RAT。这种RAT病毒并不新鲜,安全研究人员以前就对它进行过分析

这种RAT最有趣的部分是它的配置设置视为一个加密的数据块。BitRAT 的主要可执行文件中有两个十六进制字符串:较长的字符串是加密配置,较短的字符串是密钥的第一部分。

7.png

BitRAT 的加密配置

与大多数其他恶意软件不同,BitRAT使用Camellia密码,初始化向量(IV)为0000000000000000。

需要几个计算步骤来获得最终密钥。首先,根据在固定地址上找到的字节计算魔术值,如图 下图所示。

8.png

计算 BitRAT 最终密钥的魔法值的算法

9.png

计算 BitRAT 最终密钥魔法值的输入数据

每个字节都使用一个简单的计算公式进行转换,如下所示:

10.png

此公式可用于通过以下过程计算魔术值:

例如,使用图9和图10中的数据将得到字符串“78hf326f87”。

该字符串附加到硬编码字符串“38325a784d6f5630”后,形成字符串“38325a784d6f563078hf326f87”。

之后,根据“38325a784d6f563078hf326f87”计算crc32校验和,结果为“d8e71d19”。

将值 0x08 添加到校验和,然后变为“d8e71d21”。

MD5 哈希是根据校验和“d8e71d21”计算得出的,形成“b50d97fb1e3d5fc9cc302384f5718714”。

MD5哈希的前半部分“b50d97fb1e3d5fc9”是Camellia密码的密钥。

配置被解密为以下字符串,如下图所示,包括命令和控制 (C&C) 服务器和端口。

11.png

BitRAT 的解密配置

受影响地区和行业

本次发现的大部分目标位于哥伦比亚,但也有一些来自厄瓜多尔、西班牙和巴拿马等其他南美国家。这与在鱼叉式网络钓鱼电子邮件中使用西班牙语是一致的。

虽然APT-C-36的目标尚不清楚,但研究人员认为攻击者进行这场活动是为了获取经济利益。本次攻击影响了包括政府、金融和医疗机构等多个行业,并对金融、电信、能源、石油和天然气行业产生了间接影响。

总结

在调查过程中,研究人员发现了 APT-C-36 使用的各种新战术、技术和程序 (TTP)。研究表明,攻击者经常迭代他们的攻击技术,就像他们使用不同的链接缩短器和 RAT。虽然鱼叉式网络钓鱼电子邮件是初始感染媒介,但攻击者不断改变其有效载荷并改进其技术以避免检测,例如使用地理定位过滤。APT-C-36会根据地点和收件人的财务状况来选择目标。

本文翻译自:https://www.trendmicro.com/en_us/research/21/i/apt-c-36-updates-its-long-term-spam-campaign-against-south-ameri.html如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2022 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务