APT-C-36使用新加载器开展攻击活动
- 2026-07-13 10:53:50
APT-C-36(盲眼鹰)是一个疑似来自南美洲的APT组织,主要目标位于哥伦比亚境内和南美洲的一些国家和地区,如厄瓜多尔、智利和巴拿马等。该组织自2018年被发现以来,针对以上目标地区的政府部门、金融、保险等行业的大型公司持续发起定向攻击。
一、概述
近期360高级威胁研究院监测发现,盲眼鹰组织在2026年5月份实施了新一轮攻击活动,在本轮活动中,攻击者在攻击过程中使用一种新型加载器来加载DCRat远控木马,该加载器使用.NET Ahead-of-Time编译技术来生成原生机器码,提高其隐蔽性,进而实现对受害者计算机的控制。
二、攻击流程分析

图1 基本攻击流程
如图1所示,攻击者将exe文件和若干个dll文件隐藏在诱饵中,受害者点击执行后将释放出这些文件,加载器通过“白加黑”的方式运行后,将最终的恶意载荷注入合法进程AddInProcess32.exe中并在内存中运行,实现对受害者计算机的远程控制。
1.载荷投递
钓鱼过程
本次攻击活动中使用的初始钓鱼诱饵仍然通过邮件投递,文件取名为“AJUSTE TRANSACCIONAL APLICADO CORRECTAMENTE DE MANERA EXITOSA”(交易调整已成功应用),可见是与银行相关的内容,点击运行后直接从该文件中释放出“白加黑”共6个文件。其中libwinpthread-1.dll为恶意动态链接库,它伪装成MinGW-w64 工具链中的pthread实现库,由合法exe加载,该exe实际上为Git管理工具 Scalar。

图2 钓鱼诱饵释放出的文件
加载过程
libwinpthread-1.dll实际上疑似为一种QuirkyLoader[1]的变体,这是一个使用.NET AOT(Ahead-of-Time)即预先编译技术编译产生的加载器,它在执行前将.NET代码编译成本地机器代码,使生成的二进制文件看起来像是由 C 或 C++ 编写,同时失去了.NET的高层语义线索,从而加强了其隐蔽性和分析难度。
在这个dll中,该加载器可从多达40多个导出函数中被执行,包括sem_wait、sem_post等最常用的POSIX线程同步函数。

图3 加载器执行入口
其后的主要执行流程如下:
(1)解密一系列有趣的字符串,内容包括该加载器启动阶段的预设配置信息和在执行阶段的注入行为日志
(2)模块和API加载
在模块映射阶段,模块名称均采用先base64解码、再进行chacha20的变体算法进行解密,最后通过GetModuleHandleW将一系列模块轮询载入。

图4 模块名称解密过程
在注入阶段使用xor运算解密一系列API名字符串(密钥为0x7C91),再通过GetProcAddress函数获取其地址。
通过这种方法获取地址的API包括:
CloseHandle、TerminateProcess、CreateFileW、WriteFile、SetFilePointer、CreateProcessW、CreateProcessInternalW、WriteProcessMemory、VirtualProtectEx、Wow64GetThreadContext、Wow64SetThreadContext、GetModuleHandleW、GetProcAddress、LoadLibraryA、ResumeThread、ReadProcessMemory、NtCreateSection、NtClose、NtSetInformationFile、NtProtectVirtualMemory、NtUnmapViewOfSection、NtQueryInformationProcess、NtFreeVirtualMemory、NtMapViewOfSection。


图5 API名称解密和地址获取
(3)载荷解密
加密的恶意载荷位于该dll文件的.reloc节中,在一段用“PADDINGXXPADDING”字符填充的内容之后,我们可以看到它使用了自定义编码的字节,这正是即将进行解密和加载的恶意载荷。

图6 .reloc节中填充的字符

图7 加密存储的恶意载荷
该加载器通过匹配特征字符串“_hBerichte”在PE镜像中找到加密载荷的位置,然后开始实施解密。
分析其解密过程,我们发现分为两个阶段进行。首先使用了一种凯撒密码,即将把 hex 字符集 0-9、A-F 替换为连续字符集 P、Q、R、S、T、U、V、W、X、Y、Z、[、\、]、^、_。

图8 恶意载荷解密步骤1
再经过与模块名解密中使用的相同的chacha20变体算法完成解密。

图8 恶意载荷解密步骤2
(4)恶意载荷注入:
首先调用CreateProcessInternalW创建合法进程
C:\\Windows\\Microsoft.NET\\Framework\\v4.0.30319\\AddInProcess32.exe并挂起。
在经过短暂休眠后,样本又按照如下顺序调用API,目的是将载荷注入该进程中:
NtMapViewOfSection->Wow64GetThreadContext->WriteProcessMemory->NtQueryInformationProcess->WriteProcessMemory->
ResumeThread,最终将载荷直接映射到原进程地址空间并运行。

图9 调用WriteProcessMemory实施进程镂空
调用WriteProcessMemory的目的是修改PEB的ImageBaseAddress,让线程恢复执行后,可以从恶意载荷的地址处运行,即表1日志示例告诉我们的内容:“PH:managed/skip host CRT bootstrap via PEB patch”。
这种进程注入方法抛弃了传统进程镂空技术使用NtUnMapViewofSection进行镂空的操作,减少了敏感API调用次数,起到一定规避检测的作用。
此外,加载器在运行过程中还会建立目录 %userprofile%\\AppData\\Roaming\\ASUS App Service,将原始文件拷贝至该目录下,通过开机自启动实现持久驻留。
2.最终载荷
最终加载的恶意载荷是名为DcRAT的远控木马客户端。它使用C#开发,是AsyncRAT家族中一个功能更为全面的进化版本,它针对攻击者的需求添加了更多破坏性和隐蔽性功能。本例中的DcRAT名称为“thes”,在这里我们提取到了它的主要配置信息。

图10 该DcRAT的配置信息解密
表2 该DcRAT的主要配置信息
配置字段 | 配置内容 |
Key | "0GZXnqnFDFw2tjwIKLItj3AIskBV9Ebs" |
AES | false |
Port | 8091 |
Hosts | 45.92.1[.]165 |
version | 1.0.7 |
install | false |
MTX | "DcRatMutex_qwqdanchun" |
pastebin | null |
anti | false |
Anti process | false |
BSOD | false |
group | ZMUYER |
HWID | "419F8C8DF79EB02CC879" |
这个远控程序的功能还包括反杀毒软件、终止进程、开启摄像头、发送敏感主机信息等。
三、归属研判
通过对本次攻击活动的分析,我们发现其攻击方式与APT-C-36(盲眼鹰)组织的技术特征高度符合,具体总结如下:
(1)钓鱼诱饵面向哥伦比亚境内用户投放,文件格式和钓鱼主题符合该组织的一贯行为特点。
(2)DcRAT是该组织的常用远控木马,近年来常搭配各类加载器出现在该组织的活动中[2]。
(3)此次攻击活动使用的加载器属于MaaS类(malware as a service)加载器,它可能是流行于地下网络犯罪界的一种恶意软件。攻击者获得它后几乎不修改加载器本体,而只替换嵌入的加密 paylaod,再包装成“白加黑”的诱饵进行投放,这与APT-C-36的行动特点一致。
该组织近年来变换使用各类MaaS类加载器,种类繁多,我们将保持对该组织的关注和分析。
附录 IOC
Hash:
a0c50071c7aaba7e12b975c1952a790b
e53822b99b9848b73a1297270d0f6dd0
C2:
45.92.1[.]165:8091
参考
[1]https://www.ibm.com/think/x-force/ibm-x-force-threat-analysis-quirkyloader
[2] https://mp.weixin.qq.com/s/DDCCjhBjUTa7Ia4Hggsa1A
360高级威胁研究院
360高级威胁研究院是360数字安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。
360官网 www.360.cn