首页 科技内容详情
APT-C-36新动向:揭破连续攻击南美工<gong>具的{de}流动

APT-C-36新动向:揭破连续攻击南美工具的{de}流动

分类:科技

网址:

反馈错误: 联络客服

点击直达

2022世界杯冠亚军www.9cx.net)实时更新比分2022世界杯冠亚军数据,2022世界杯冠亚军全程高清免费不卡顿,100%原生直播,2022世界杯冠亚军这里都有。给你一个完美的观赛体验。

APT-C-36组织自从2018年4月就被发现最先针对南美的哥伦比亚政府机构和大型公司(金融、石油、制造等行业)提议有组织、有设计、针对性的耐久不中止攻击。

2018年4月,就有研究职员捕捉到了第一个针对哥伦比亚政府的定向攻击样本,在往后近一年时间内,我们又先后捕捉了多起针对哥伦比亚政企机构的定向攻击。攻击者习惯将带有恶意宏的MHTML花样的Office Word诱饵文档通过RAR加密后配合鱼叉邮件对目的举行投递,然后将RAR解压密码附带在邮件正文中,具有很好的逃避邮件网关查杀的效果。

如上所述,APT-C-36使用公然的远程接见工具(RAT)向南美的种种工具发送钓鱼电子邮件。随着时间的推移,攻击者会使用的RAT病毒已经举行了迭代。这与已往研究职员考察到APT-C-36行使大大差异,已往的RAT的功效如下:

njRAT,njRAT,也被称为Bladabindi,是一种远程接见木马(RAT,remote access Trojan),于2013年首次泛起,并迅速成为了最盛行的恶意软件家族之一。它将动态DNS用于下令与控制(C&C)服务器,并通过可设置端口使用自界说TCP协议举行通讯。

Imminent Monitor,Imminent Monitor RAT,一个商业远控,可让网络犯罪分子远程完全控制受害者的盘算机。2019年11月欧洲刑警组织今天宣布关闭Imminent Monitor RAT背后的网络犯罪组织构建的攻击网络——Imminent Monitor RAT。

A custom modified ProyectoRAT。

Warzone RAT,Warzone RAT是功效壮大的MaaS,由于其厚实的功效集而变得异常盛行。

Async RAT,Async RAT远控不仅包罗通讯、守护、隐藏、自启动等常见功效模块,而且还包罗加密、反沙盒、反虚拟机、反剖析、反调试等匹敌模块,是一款相对对照成熟的异步通讯开源木马。本文主要目的是发现asyncRat木马的通讯确立历程及数据包花样。被控端运行后,当被控端数据 穿透被控主机防护后,控制端将吸收到被控端主机的IP地址、国家、ID、用户名、操作系统、net版本、权限、杀毒软件、系统性能等基本信息。

Lime RAT,LimeRAT是一款功效壮大的远程治理工具,也是Github上免费提供的一个开源项目,任何互用户都可以使用。

Remcos RAT (被Trend Micro检测为BKDR_SOCMER.SM)。

BitRAT。

发送钓鱼电子邮件

APT-C-36对攻击目的接纳了差其余攻击战略:许多诓骗性电子邮件冒充哥伦比亚国家税务和海关总局Dirección de Impuestos y Aduanas Nacionales (DIAN),这是攻击者以前使用过的诱饵。这些电子邮件声称“已经发出了对银行账户的扣押令”,电子邮件附件中包罗更多详细信息,而且该信息受到密码“dian”的珍爱。附件的英文是“seizure order.pdf”,电子邮件正文翻译如下:


一封冒充哥伦比亚国家税务海关总局的电子邮件

下面这个攻击攻击流动中的虚伪电子邮件则声称包罗一张照片,可以证实收件人的同伙有外遇。攻击者以类似的方式,要求收件人打开名为“attached picture.jpg”的电子邮件附件,并使用密码“foto”查看其内容。这些电子邮件的内容缺乏适当的标点符号,而且写得很糟糕,这是网络钓鱼实验中的一个常见特征。这封电子邮件的英文翻译如下:


一封伪装因素享小我私人照片的电子邮件

发件人的电子邮件地址要么是冒充 DIAN 的虚伪地址,要么是冒充虚伪女性小我私人资料的 Hotmail.com 地址。提议IP地址总是被归罪于VPN提供商。

钓鱼文档

这些钓鱼邮件中的文档要么是PDF文件,要么是包罗链接的DOCX文件。研究职员发现了这些文件的样本冒充 DIAN,其他文档冒充 Google 相册。


带有链接到URL缩短网址的电子邮件附件

将鼠标悬停在链接上方将显示该链接是从URL缩短器天生的。APT-C-36以前也使用URL缩短器,例如 cort.as、acortaurl.com 和 gtly.to。这些 URL 缩短器能够举行地理定位,因此若是来自攻击者未针对的国家/区域的用户点击链接,他们将被重定向到正当网站。 URL缩短器还具有检测主要VPN服务的功效,在本文的示例中,缩短的链接会将用户重定向到正当网站,而不是重定向到恶意链接,如下图所示。


地理定位检测到一个非哥伦比亚的IP或VPN,以是用户被重定向到真正的DIAN网站


地理定位检测到一个非哥伦比亚的IP或VPN,以是用户被重定向到真正的Google 相册网站

然则,若是知足地理位置条件,则用户将被重定向到文件托管服务器并自动下载文件。

足球免费贴士网

免费足球贴士网(www.zq68.vip)是国内最权威的足球赛事报道、预测平台。免费提供赛事直播,免费足球贴士,免费足球推介,免费专家贴士,免费足球推荐,最专业的足球心水网。


包罗受密码珍爱的压缩文件存储

下载的文件是一个受密码珍爱的压缩文件,其密码在电子邮件、电子邮件附件或两者中都有被提到。这些密码通常很简朴,好比“dian”、“foto”或“1234”。

有用载荷

在对密码珍爱的压缩文件中的可执行文件举行解混淆后,研究职员将看到一个名为BitRAT的RAT。这种RAT病毒并不新鲜,平安研究职员以前就对它举行过剖析。

这种RAT最有趣的部门是它的设置设置视为一个加密的数据块。BitRAT 的主要可执行文件中有两个十六进制字符串:较长的字符串是加密设置,较短的字符串是密钥的第一部门。


BitRAT 的加密设置

与大多数其他恶意软件差异,BitRAT使用Camellia密码,初始化向量(IV)为0000000000000000。

需要几个盘算步骤来获得最终密钥。首先,凭证在牢靠地址上找到的字节盘算魔术值,如图 下图所示。


盘算 BitRAT 最终密钥的邪术值的算法


盘算 BitRAT 最终密钥邪术值的输入数据

每个字节都使用一个简朴的盘算公式举行转换,如下所示:


此公式可用于通过以下历程盘算魔术值:

例如,使用图9和图10中的数据将获得字符串“78hf326f87”。

该字符串附加到硬编码字符串“38325a784d6f5630”后,形成字符串“38325a784d6f563078hf326f87”。

之后,凭证“38325a784d6f563078hf326f87”盘算crc32校验和,效果为“d8e71d19”。

将值 0x08 添加到校验和,然后变为“d8e71d21”。

MD5 哈希是凭证校验和“d8e71d21”盘算得出的,形成“b50d97fb1e3d5fc9cc302384f5718714”。

MD5哈希的前半部门“b50d97fb1e3d5fc9”是Camellia密码的密钥。

设置被解密为以下字符串,如下图所示,包罗下令和控制 (C&C) 服务器和端口。


BitRAT 的解密设置

受影响区域和行业

本次发现的大部门目的位于哥伦比亚,但也有一些来自厄瓜多尔、西班牙和巴拿马等其他南美国家。这与在鱼叉式网络钓鱼电子邮件中使用西班牙语是一致的。

虽然APT-C-36的目的尚不清晰,但研究职员以为攻击者举行这场流动是为了获取经济利益。本次攻击影响了包罗政府、金融和医疗机构等多个行业,并对金融、电信、能源、石油和自然气行业发生了间接影响。

总结

在观察历程中,研究职员发现了 APT-C-36 使用的种种新战术、手艺和程序 (TTP)。研究解释,攻击者经常迭代他们的攻击手艺,就像他们使用差其余链接缩短器和 RAT。虽然鱼叉式网络钓鱼电子邮件是初始熏染前言,但攻击者不停改变其有用载荷并改善其手艺以阻止检测,例如使用地理定位过滤。APT-C-36会凭证地址和收件人的财政状态来选择目的。

本文翻译自:https://www.trendmicro.com/en_us/research/21/i/apt-c-36-updates-its-long-term-spam-campaign-against-south-ameri.html

皇冠管理端登3网址皇冠管理端登3网址(www.9cx.net)实时更新发布最新最快最有效的皇冠管理端登3网址、皇冠管理端登3手机网址,包括新2登3手机网址,新2登3备用网址,皇冠登3最新网址,新2足球登3网址,新2网址大全。

  • www.caibao.it @回复Ta

    2021-09-19 00:05:52 

    欧博APPwww.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

    祝大家开心哦

  • USDTOTCAPI接口(www.usdt8.vip) @回复Ta

    2021-10-06 00:05:28 

    www.huangguan.us)是一个开放皇冠代理APP下载、皇冠会员APP下载、皇冠线路APP下载、皇冠登录APP下载的体育平台。皇冠体育APP上最新登录线路、新2皇冠网址更新最快。皇冠体育APP开放皇冠会员注册、皇冠代理开户等业务。前排留名

  • USDT回收(www.usdt8.vip) @回复Ta

    2021-10-14 00:00:51 

    usdt官网下载www.caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

    我和同学都很喜欢呢

发布评论