APT-C-36使用新加载器开展攻击活动

admin 2026-07-10 06:29:45 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 360高级威胁研究院披露APT-C-36盲眼鹰组织在2026年5月使用新型加载器发起攻击。该加载器采用.NETAhead-of-Time编译技术生成原生机器码以增强隐蔽性,通过钓鱼邮件投递诱饵释放白加黑文件,最终将DCRat远控木马注入合法进程AddInProcess32.exe实现远程控制。攻击目标主要为哥伦比亚等南美地区的政府和金融行业。建议相关机构关注IOC并加强邮件安全防护。 综合评分: 85 文章分类: 威胁情报,恶意软件,漏洞分析,红队,安全工具


cover_image

APT-C-36使用新加载器开展攻击活动

高级威胁研究院 高级威胁研究院

360威胁情报中心

2026年7月8日 17:30 北京

在小说阅读器读本章

去阅读

APT-C-36

盲眼鹰

APT-C-36(盲眼鹰)是一个疑似来自南美洲的APT组织,主要目标位于哥伦比亚境内和南美洲的一些国家和地区,如厄瓜多尔、智利和巴拿马等。该组织自2018年被发现以来,针对以上目标地区的政府部门、金融、保险等行业的大型公司持续发起定向攻击。

一、概述

近期360高级威胁研究院监测发现,盲眼鹰组织在2026年5月份实施了新一轮攻击活动,在本轮活动中,攻击者在攻击过程中使用一种新型加载器来加载DCRat远控木马,该加载器使用.NET Ahead-of-Time编译技术来生成原生机器码,提高其隐蔽性,进而实现对受害者计算机的控制。

二、攻击流程分析

图1 基本攻击流程

 如图1所示,攻击者将exe文件和若干个dll文件隐藏在诱饵中,受害者点击执行后将释放出这些文件,加载器通过“白加黑”的方式运行后,将最终的恶意载荷注入合法进程AddInProcess32.exe中并在内存中运行,实现对受害者计算机的远程控制。

1.载荷投递

钓鱼过程

本次攻击活动中使用的初始钓鱼诱饵仍然通过邮件投递,文件取名为“AJUSTE TRANSACCIONAL APLICADO CORRECTAMENTE DE MANERA EXITOSA”(交易调整已成功应用),可见是与银行相关的内容,点击运行后直接从该文件中释放出“白加黑”共6个文件。其中libwinpthread-1.dll为恶意动态链接库,它伪装成MinGW-w64 工具链中的pthread实现库,由合法exe加载,该exe实际上为Git管理工具 Scalar。

图2 钓鱼诱饵释放出的文件

加载过程

libwinpthread-1.dll实际上疑似为一种QuirkyLoader[1]的变体,这是一个使用.NET AOT(Ahead-of-Time)即预先编译技术编译产生的加载器,它在执行前将.NET代码编译成本地机器代码,使生成的二进制文件看起来像是由 C 或 C++ 编写,同时失去了.NET的高层语义线索,从而加强了其隐蔽性和分析难度。

在这个dll中,该加载器可从多达40多个导出函数中被执行,包括sem_wait、sem_post等最常用的POSIX线程同步函数。

图3 加载器执行入口

其后的主要执行流程如下:

(1)解密一系列有趣的字符串,内容包括该加载器启动阶段的预设配置信息和在执行阶段的注入行为日志,它的各阶段以不同的英文字母简写来表示,例如:

表1 加载器运行后解密的字符串示例

| | | | — | — | | 字符串示例 | 含义 | | GATE: features=startup; hide_console  elevated=False  session0=False | 开机自启动、隐藏窗口、普通权限、用户会话模式 | | PREP: moduleLoaded=True hide_console elevated=False session0=False | 模块已加载,准备就绪 | | PREP: moduleLoaded=True hide_console elevated=False session0=False | 确认注入目标位置 | | PH: epRva=0xCB8E0000003  base=0x1010000 pref=0x400000t.NET\Framework\v4.0.30319\AddInProcess32.exe | PH(进程镂空)模块:入口点RVA地址和注入对象 | | GH:inject=TrueE origImgBase=0x400000 pref=0x400000ft.NET\Framework\v4.0.30319\AddInProcess32.exe | GH模块:注入功能已启用; 目标进程原始基址; payload 首选加载基址 | | GH:x86=True48640b target=C:\Windows\Microsoft.NET\Framework\v4.0.30319\AddInProcess32.exe | GH模块:确认CPU架构 | | GH:payload=48640btarget=C:\Windows\Microsoft.NET\Framework\v4.0.30319\AddInProcess32.exe | GH模块:确认载荷大小和目标进程 | | GSF: wrote 48640 aged=True target=C:\Windows\Microsoft.NET\Framework\v4.0.30319\AddInProcess32.exe | GSF模块:写入临时文件,记录大小 | | GSF:disp=0xC0000121=True target=C:\Windows\Microsoft.NET\Framework\v4.0.30319\AddInProcess32.exe | GSF模块:删除临时文件 | | PC: pid=2391848  ok=Trueue target=C:\Windows\Microsoft.NET\Framework\v4.0.30319\AddInProcess32.exe | PC(创建傀儡进程)模块:PID、创建状态、目标程序所在目录 | | RM:map init managed=True target=C:\Windows\Microsoft.NET\Framework\v4.0.30319\AddInProcess32.exe | RM(映射)模块:映射初始化完成 | | RM:resume=xCB8E origImgBase=0x4000000 pref=0x400000t.NET\Framework\v4.0.30319\AddInProcess32.exe | RM(映射)模块:ResumeThread 后线程恢复执行的地址 | | RM: map#1  st=0x40000003  base=0x1010000 pref=0x400000t.NET\Framework\v4.0.30319\AddInProcess32.exe | RM模块:映射尝试次数、返回的NTSTATUS、映射地址、首选地址 | | PH:managed/skip host CRT bootstrap via PEB patch | PH模块:通过修改 PEB 中的字段让恢复后的线程直接跳入恶意载荷的入口点 |

(2)模块和API加载

在模块映射阶段,模块名称均采用先base64解码、再进行chacha20的变体算法进行解密,最后通过GetModuleHandleW将一系列模块轮询载入。

图4 模块名称解密过程

在注入阶段使用xor运算解密一系列API名字符串(密钥为0x7C91),再通过GetProcAddress函数获取其地址。

通过这种方法获取地址的API包括:

CloseHandle、TerminateProcess、CreateFileW、WriteFile、SetFilePointer、CreateProcessW、CreateProcessInternalW、WriteProcessMemory、VirtualProtectEx、Wow64GetThreadContext、Wow64SetThreadContext、GetModuleHandleW、GetProcAddress、LoadLibraryA、ResumeThread、ReadProcessMemory、NtCreateSection、NtClose、NtSetInformationFile、NtProtectVirtualMemory、NtUnmapViewOfSection、NtQueryInformationProcess、NtFreeVirtualMemory、NtMapViewOfSection。

图5 API名称解密和地址获取

(3)载荷解密

加密的恶意载荷位于该dll文件的.reloc节中,在一段用“PADDINGXXPADDING”字符填充的内容之后,我们可以看到它使用了自定义编码的字节,这正是即将进行解密和加载的恶意载荷。

图6 .reloc节中填充的字符

图7 加密存储的恶意载荷

该加载器通过匹配特征字符串“_hBerichte”在PE镜像中找到加密载荷的位置,然后开始实施解密。

分析其解密过程,我们发现分为两个阶段进行。首先使用了一种凯撒密码,即将把 hex 字符集 0-9、A-F 替换为连续字符集 P、Q、R、S、T、U、V、W、X、Y、Z、[、\、]、^、_。

图8 恶意载荷解密步骤1

再经过与模块名解密中使用的相同的chacha20变体算法完成解密。

图8 恶意载荷解密步骤2

(4)恶意载荷注入:

首先调用CreateProcessInternalW创建合法进程

C:\Windows\Microsoft.NET\Framework\v4.0.30319\AddInProcess32.exe并挂起。

在经过短暂休眠后,样本又按照如下顺序调用API,目的是将载荷注入该进程中:

NtMapViewOfSection->Wow64GetThreadContext->WriteProcessMemory->NtQueryInformationProcess->WriteProcessMemory->

ResumeThread,最终将载荷直接映射到原进程地址空间并运行。

图9 调用WriteProcessMemory实施进程镂空

调用WriteProcessMemory的目的是修改PEB的ImageBaseAddress,让线程恢复执行后,可以从恶意载荷的地址处运行,即表1日志示例告诉我们的内容:“PH:managed/skip host CRT bootstrap via PEB patch”。

这种进程注入方法抛弃了传统进程镂空技术使用NtUnMapViewofSection进行镂空的操作,减少了敏感API调用次数,起到一定规避检测的作用。

此外,加载器在运行过程中还会建立目录 %userprofile%\AppData\Roaming\ASUS App Service,将原始文件拷贝至该目录下,通过开机自启动实现持久驻留。

2.最终载荷

  最终加载的恶意载荷是名为DcRAT的远控木马客户端。它使用C#开发,是AsyncRAT家族中一个功能更为全面的进化版本,它针对攻击者的需求添加了更多破坏性和隐蔽性功能。本例中的DcRAT名称为“thes”,在这里我们提取到了它的主要配置信息。

图10 该DcRAT的配置信息解密

表2 该DcRAT的主要配置信息

| | | | — | — | | 配置字段 | 配置内容 | | Key | “0GZXnqnFDFw2tjwIKLItj3AIskBV9Ebs” | | AES | false | | Port | 8091 | | Hosts | 45.92.1[.]165 | | version | 1.0.7 | | install | false | | MTX | “DcRatMutex_qwqdanchun” | | pastebin | null | | anti | false | | Anti process | false | | BSOD | false | | group | ZMUYER | | HWID | “419F8C8DF79EB02CC879” |

这个远控程序的功能还包括反杀毒软件、终止进程、开启摄像头、发送敏感主机信息等。

三、归属研判

  通过对本次攻击活动的分析,我们发现其攻击方式与APT-C-36(盲眼鹰)组织的技术特征高度符合,具体总结如下:

(1)钓鱼诱饵面向哥伦比亚境内用户投放,文件格式和钓鱼主题符合该组织的一贯行为特点。

(2)DcRAT是该组织的常用远控木马,近年来常搭配各类加载器出现在该组织的活动中[2]。

(3)此次攻击活动使用的加载器属于MaaS类(malware as a service)加载器,它可能是流行于地下网络犯罪界的一种恶意软件。攻击者获得它后几乎不修改加载器本体,而只替换嵌入的加密 paylaod,再包装成“白加黑”的诱饵进行投放,这与APT-C-36的行动特点一致。

该组织近年来变换使用各类MaaS类加载器,种类繁多,我们将保持对该组织的关注和分析。

附录 IOC

Hash:

a0c50071c7aaba7e12b975c1952a790b

e53822b99b9848b73a1297270d0f6dd0

C2:

45.92.1[.]165:8091

参考

[1]https://www.ibm.com/think/x-force/ibm-x-force-threat-analysis-quirkyloader

[2] https://mp.weixin.qq.com/s/DDCCjhBjUTa7Ia4Hggsa1A

360高级威胁研究院

360高级威胁研究院是360数字安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:360威胁情报中心 高级威胁研究院 高级威胁研究院《APT-C-36使用新加载器开展攻击活动》

蔚来,均价44.3万元 网络安全文章

蔚来,均价44.3万元

文章总结: 蔚来2026年6月交付超4万台,主品牌均价44.3万元,通过大型纯电SUV策略重塑高端形象,实现销量与定价权双赢。文章分析中国电车市场从拼配置转向品
评论:0   参与:  0