一、攻击活动分析  

1.攻击流程分析  

攻击流程与以往不同的是在压缩包内打包了Keylogger键盘监控程序。    

2.恶意载荷分析  

3.攻击组件分析  

德国公司Breaking Security除去大名鼎鼎的Remcos Rat后门软件外同时也发布了多款其它恶意工具以供订阅和下载，其中就有一款已进行开源的Viotto Binder软件。该软件由VB6进行编写意在将多个文件打包成一个文件执行，攻击者对开源的Viotto Binder代码进行修改将想要执行的恶意文件进行打包处理。

未修改前的Viotto Binder会将打包的资源放在资源段内并以“|viottobinder||vttbndr|”字符进行分割处理。

 二、归属研判   

APT-C-36(盲眼鹰)近年来常用的攻击手法是喜欢投递各类钓鱼邮件诱使受害用户下载携带密码的压缩包文件，压缩包内通常打包有一个混淆过的VBS脚本文件，脚本文件运行后可从远程服务器请求NjRat、AsyncRat等开源后门注入到正常程序中运行。从诱饵PDF文档的土耳其语、携带密码的压缩包文件、混淆过的VBS执行命令、远程服务器解码后得到的载荷、受影响用户地区分布等来看此次攻击活动与APT-C-36(盲眼鹰)组织高度相似。

值得注意的是另一个组织Hagga的TTP与APT-C-36(盲眼鹰)高度相似，也有友商表示Hagga与APT-C-36(盲眼鹰)存在某种联系或为APT-C-36(盲眼鹰)的子组在此就不过多阐述，且仅从此次活动中发现的受影响用户所在地区分布来看其主要为南美洲国家我们暂认定是APT-C-36(盲眼鹰)所为。

在对此次攻击活动中的IOC进行关联时我们发现IP（91.213.50[.]74）上挂载了大量载荷文件，并且其中挂载的文件从21年更新到至今，载荷对应的有NjRAT、ArrowRAT、ASyncRAT、Remcos、QuasarRAT等各类后门程序，其载荷的字符处理模式也于此次活动中使用的同出一辙。

继续对该IP进行挖掘时发现以LNK文件继续投递的案例。（e82d72d74ad409f6ed3cc0f5ceb62029）

Lnk文件调用powershell从远程服务器下载JS文件执行（travel-ag[.]com/JSnew）,JS代码中被攻击者插入了恶意代码用于下载恶意载荷运行。

对IP继续挖掘发现除去惯用的投递恶意邮件的攻击手法，疑还新增teams投递、恶意文档投递和渗透攻击命令执行攻击流，自此来看该组织在不断优化其攻击流，未来该组织或可能向复杂化演变。

ad33ef06451e32263fec67bda2bf5491

9ebeddbc4932f8e4cf9d6dbc3d84459a

20a9ee686bccecd08d2bbdb293dc9600

ae0f6ecbfe3275603188c30e9d5ebc67

e82d72d74ad409f6ed3cc0f5ceb62029

6A1E7CCF1AD1F2B2C58D9B84F1D4BE9D

56ACA38D92559ED7CD1A393A90BB7D27

E6DF600AF59A848A8E6F1222BC6B10B7

C3E32C38B8A8CF706A29EB9E1A9A97A6

44E9AAF786001E31567DA53E6F7E1B8F

travel-ag[.]com

91.213.50[.]74