一.攻击流程分析 

 二.恶意载荷分析 

攻击者通过钓鱼邮件诱使用户从第三方云平台下载携带恶意文件的UUE/ZIP等压缩包，此次活动中攻击者在UUE压缩文件中内嵌一个自解压EXE文件，UUE压缩文件和自解压EXE文件使用西班牙语命名，伪造成司法部门文件向哥伦比亚地区人群和组织投递。

自解压EXE文件运行后会在%TEMP%目录下释放恶意脚本执行程序和恶意脚本文件。以WSF为后缀的恶意脚本文件经过众多特殊字符进行混淆，脚本执行后会现将特殊字符进行替换还原恶意代码后执行恶意命令。

恶意脚本被执行后会在计算机中创建一个名为“google Update2024 Tas”的计划任务用于持久化且请求下一阶段的恶意脚本运行。

下一阶段的sostener.vbs恶意脚本沿用了APT-C-36（盲眼鹰）的一贯风格：在正常的代码中夹带混淆过的恶意代码。

混淆代码解混淆解base64编码后继续从第三方平台中下载载荷，进行base64解密后传入构造好的参数执行载荷指定类和函数。

 三.攻击组件分析 

对参数进行判断选择持久化方案，如果参数中包含“1”便在计算机内%temp%目录下创建一个名为xxx.ps1和xx2.vbs文件执行完成持久化。

随后DLL文件分别对AndeLoader载荷以及DcRat载荷进行下载，运行AndeLoader将DcRat注入到RegSvcs.exe进程中执行。

Dark Crystal RAT（简称DcRAT）是一种模块化的开源远控木马（RAT），首次在2018年被观察到，该木马采用了模块化的策略能够灵活的添加和部署想要实现的恶意功能，如：键盘窃取、截屏、剪切板复制、指令执行等。

使用WMI查询机器内是否存在杀毒引擎。

根据系统位数选择不同的AMSI绕过策略进行反调试。

 四.归属研判 

1、此次攻击事件使用的诱饵文件贯彻APT-C-36（盲眼鹰）以往的习惯：使用西班牙语进行命名伪造司法部文件向受害用户投递；

2、以及使用的恶意代码混淆方式以及后续载荷都与APT-C-36以往活动中使用的都基本一致。

在我方视野中APT-C-36（盲眼鹰）持续活跃，针对哥伦比亚、墨西哥、厄瓜多尔、土耳其等地区使用西班牙语的人群以及团体进行木马投递。该组织在近期攻击活动不断开发新工具并完善攻击链，扩大攻击群体的同时也在尝试使用不同的攻击链发起攻击，可预见在未来或能观测到更多APT-C-36（盲眼鹰）组织活跃的痕迹。

816999bfe363b545575d2aaca78a6fdd

cd4b908264f6711321d7cb9d62df89d2

ff30cc63bb8ba014ffe95ba9fa52eca4

31748fb41fa5212711aac8dbd62af0b6

ad25a95f049577f0372657779a58bf0c

5d40616dda7b012eb774c45806b7b42a

4927769fa3f3c5a80287ab3e335d8769

31748fb41fa5212711aac8dbd62af0b6

e078fa76a2ddd05106a6dddba78b4608

e8c4326e36be1949ce49150c9066f944

dcmxz.duckdns[.]org

https://www.informacionoportuna[.]com/wp-content/uploads/2024/09/dllskyfal.txt

http://keepz.duckdns[.]org/sostener.vbs

https://bitbucket[.]org/89999999999999/acaaaaaaaaa/downloads/dll.txt

http://pastebin[.]com/raw/V9y5Q5vv

https://bitbucket[.]org/556ghfhgfhgf/fdsfdsf/downloads/dllhope.txt

https://cdn.discordapp[.]com/attachments/1046967871470837855/1046969589982044230/dll.txt

http://91.202.233[.]169/Tak/Reg/Marz/DRG/RTC/F3dll.txt

https://textbin[.]net/raw/ezjmofz3s6