一、攻击活动分析
在日常的狩猎活动中我们发现APT-C-36组织近期活动中尝试在其惯用的PDF鱼叉钓鱼攻击流中添加Amadey僵尸网络木马。Amadey僵尸网络木马是一个2018年10月左右出现的在俄语黑客论坛上出售的模块化僵尸网络木马,具备内网横移、信息窃取、远程指令执行、脚本执行、DDos攻击等能力。
1.攻击流程分析
此次活动中使用Amadey僵尸网络木马的攻击流。
2.载荷投递分析
诱饵PDF文档从第三方云服务中下载含恶意VBS脚本的加密压缩包。
VBS中内嵌了恶意代码数据。
对特殊字符进行替换和beas64解密出的Powershell利用脚本代码,Powershell代码从第三方平台中分别下载两个载荷进行加载运行。
3.攻击组件分析
两个载荷中一个为用于反射加载的net_dll,在以往的攻击活动中能看到APT-C-36频繁使用;另一个为Amadey僵尸网络木马,Amadey作为一个较为完善僵尸网络木马其具备:反沙箱、持久化、权限获取、脚本执行、远控、数据窃取等多种功能。
Net_dll
Powershell脚本通过从第三方平台中下载net_dll载荷数据进行解密,调用CdWDdB.DKeSvl.NnIaUq方法实现反射加载,该net_dll为APT-C-36惯用组件主要用于持久化以及加载下一阶段载荷运行。
Net_dll运行后分别在计算机%TEMP%文件夹中创建一个vbs和ps1脚本用于持久化 。
创建计划任务进行持久化。
继续从第三方平台中下载下一阶段载荷编码数据,将编码数据进行倒序以及特殊字符替换以及base64解码后得到下一阶段载荷。
处理后的net_dll载荷数据通过调用其KoAOkX.MXuuJb.WwQTZc方式进行反射加载,第二阶段net_dll运行后将AsyncRAT木马注入到系统进程中运行。
Amadey
Powershell脚本代码从另一第三方平台下载的base64编码数据为Amadey僵尸网络木马,Amadey作为一个较为完善僵尸网络木马其具备:反沙箱、持久化、权限获取、脚本执行、命令执行、横向移动、DDos攻击、数据窃取等多种功能插件。
下发的Amadey运行后会从下载三个文件:cred.dll、clip.dll、onLyofFicED.bat,其中dll文件是Amadey的信息收集组件用于窃取浏览器账号等用户隐私数据,bat文件中为要执行的恶意脚本。
请求文件过程中Amadey会根据当前计算机信息以特定字段发送到CC服务器中。
各个字段含义。
而bat文件中攻击者使用base64加密 + AES + Gzip将两个可执行程序进行加密内嵌进脚本文件中,bat脚本运行后通过“:”符号定位密文数据依次进行解密并加载运行。
其中一个可执行程序为CrubCrypt加密器,其运行后将资源的Remcos压缩数据进行Gzip解压缩后再将其加载运行。
二、归属研判
此次鱼叉钓鱼事件使用的诱饵PDF文件以及使用的恶意代码混淆方式以及后续载荷都与APT-C-36以往活动中使用的一致。
在对APT-C-36的持续追踪中发现该组织持续对厄瓜多尔等地区发起攻击,不断地尝试将新的木马工具添加到自身武器库中完善自身的攻击能力。可预见在将来APT-C-36或将目光转向新的地区,其自身攻击能力也将变得更加复杂化。
附录IOC
20561F6497492900567CBF08A20AFCCA
42DD207E642CEC5A12839257DF892CA9
461A67CE40F4A12863244EFEEF5EBC26
FDD66DC414647B87AA1688610337133B
5590C7E442E8D2BC857813C008CE4A6C
303ACDC5A695A27A91FEA715AE8FDFB8
FECB399CAE4861440DF73EAA7110F52C
C92A9FA4306F7912D3AF58C2A75682FD
57A169A5A3CA09A0EDE3FEDC50E6D222
05B99BEE0D8BA95F5CCB1D356939DAA8
64E6B811153C4452837E187A10D54665
c1eeb77920357a53e271091f85618bd9
autgerman.autgerman.com
http://213.226.123.14/8bmeVwqx/Plugins/cred.dll
http://213.226.123.14/8bmeVwqx/Plugins/clip64.dll
http://213.226.123.14/8bmeVwqx/index.php
http://213.226.123.14/8bmeVwqx/Plugins/cred64.dll
http://213.226.123.14/8bmeVwqx/Plugins/clip.dll
http://213.226.123.14/8bmeVwqx/index.php?scr=1
https://subirfact.com/onLyofFicED.bat转载来源:http://www.hackdig.com/10/hack-1133499.htm
图片来源网络目标可联系删除
