黑狮行动：针对西班牙语地区的攻击活动分析

黑狮行动：针对西班牙语地区的攻击活动分析

黑狮行动：揭秘西班牙语区定向攻击全貌

近期，ADLab团队揭示了一起名为“黑狮行动”的定向攻击事件，该行动瞄准了西班牙语系国家的政府和能源企业。黑客组织KingSqlZ通过精心设计的恶意Word文档和鱼叉邮件，以伪装的“简历更新”诱饵，植入了高度隐蔽的间谍木马，显示出明显的政治意图。调查发现，攻击者巧妙使用了WARZONE和Remcos两款远程管理工具，通过不同的形态和免杀策略实施攻击。

威胁分析显示，攻击目标集中在政府和公共服务部门，且攻击者通过控制命令服务器巧妙隐藏身份。尽管如此，我们在一个样本中找到了与KingSqlZ相关的线索，土耳其语的存在，证实了攻击者的潜在来源。据推测，这次攻击可能起源于土耳其，攻击者的活跃时区在东3区（UTC+3）附近。

攻击者采用了复杂的技术手段，如“AVE_MARIA”恶意软件与WARZONE RAT的高度一致性，以及木马文档“Curriculum Vitae Actualizado”的巧妙设计。RAT样本的编译时间分析显示，攻击频率并不频繁，可能是为了降低被察觉的风险。攻击者利用公共DDNS服务，通过新注册的C2域名进行操控，同时，他们运用了加密和API哈希技术，以确保文档的隐蔽性。

攻击过程通过 DOC文档中的恶意宏传播，文档内隐藏了Etr739.exe和hqpi64.exe（WARZONE RAT的释放器）。恶意软件通过“无文件技术”和CR4加密通信，执行包括欺骗用户打开文档、下载、解密和执行Shellcode等一系列步骤。其中，RAT模块在内存中加载并利用printf和sleep函数进行延迟，以逃避监控。

更为深入的分析揭示，木马利用加密技术加载WARZONE RAT，C2地址存储在.bss资源节，采用CR4算法加密。Shellcode被巧妙注入，守护进程并连接到C2服务器，进行数据窃取和远程控制操作。登录凭证的加密存储在sqlite3数据库logins，包括浏览器和邮箱信息，通过特定解密手段上传至远程服务器。

键盘记录功能是攻击的一部分，木马在后台持续监控，甚至在离线状态下记录按键和窗口名。远程VNC安装则通过添加新用户权限，实现对目标系统的远程访问。rdpwrap项目则通过隐藏和提权技术，为木马提供更稳固的立足点。

值得关注的是，攻击者使用了混淆的Powershell脚本“massive.exe”，通过两个阶段释放Remcos RAT（V2.3.0 Pro），这显示了攻击链的精细设计。Remcos RAT的C2连接功能区分于免费版，显示出组织的专业性和目的性。

此攻击链与Hackforums论坛和Solmyr有关，后者提供免费服务支持黑客活动，Warzone RAT在该社区因其功能强大而受到青睐。Solmyr团伙不仅提供恶意软件，还协助隐藏攻击者身份，这使得攻击活动更加谨慎且难以追踪。

针对此次“黑狮行动”，政府和企业应提高警惕，加强网络安全防护，特别是对来自特定地区的简历更新邮件要特别留意。威胁情报机构应继续监控此类攻击链，以保护关键基础设施不受侵害。

关键IOC：MD5值一串

相关C2域名示例：linksysdatakeys[.]se, gestomarket[.]co, 等等，需密切关注。