APT-C-36

盲眼鹰

APT-C-36（盲眼鹰）是一个疑似来自南美洲的APT组织，主要目标位于哥伦比亚境内，以及南美的一些地区如厄瓜多尔和巴拿马。该组织自2018年被发现以来，持续发起针对哥伦比亚国家的政府部门、金融、保险等行业以及大型公司的定向攻击。

在对APT-C-36组织追踪过程中我们发现该组织在不断尝试新的攻击流，尝试将Amadey僵尸网络木马加入到武器库中。

一、攻击活动分析

在日常的狩猎活动中我们发现APT-C-36组织近期活动中尝试在其惯用的PDF鱼叉钓鱼攻击流中添加Amadey僵尸网络木马。Amadey僵尸网络木马是一个2018年10月左右出现的在俄语黑客论坛上出售的模块化僵尸网络木马，具备内网横移、信息窃取、远程指令执行、脚本执行、DDos攻击等能力。

1.攻击流程分析

此次活动中使用Amadey僵尸网络木马的攻击流。

诱饵PDF文档从第三方云服务中下载含恶意VBS脚本的加密压缩包。

VBS中内嵌了恶意代码数据。

对特殊字符进行替换和beas64解密出的Powershell利用脚本代码，Powershell代码从第三方平台中分别下载两个载荷进行加载运行。

两个载荷中一个为用于反射加载的net_dll，在以往的攻击活动中能看到APT-C-36频繁使用；另一个为Amadey僵尸网络木马，Amadey作为一个较为完善僵尸网络木马其具备：反沙箱、持久化、权限获取、脚本执行、远控、数据窃取等多种功能。

Powershell脚本通过从第三方平台中下载net_dll载荷数据进行解密，调用CdWDdB.DKeSvl.NnIaUq方法实现反射加载，该net_dll为APT-C-36惯用组件主要用于持久化以及加载下一阶段载荷运行。

Net_dll运行后分别在计算机%TEMP%文件夹中创建一个vbs和ps1脚本用于持久化。