Известная с 2018 года группировка BlindEagle (она же APT-C-36) обновляет свои кибершпионские кампании, в основном направленные на частных лиц и организации из Колумбии. Так, теперь хакеры используют новый плагин и задействуют в атаках легитимные бразильские файлообменники.
Специалисты «Лаборатории Касперского» сообщают, что новые атаки BlindEagle направлены на компании и частных лиц в Колумбии, Эквадоре, Чили, Панаме и других странах Латинской Америки. Хакеры нацелились на правительственные учреждения, энергетические и нефтегазовые организации, финансовые компании. При этом в мае и июне 2024 года 87% жертв группы находились в Колумбии.
Основные цели BlindEagle — шпионаж и кража финансовой информации. Для этого используются опенсорсные трояны удаленного доступа, включая такие известные вредоносы как njRAT, Lime-RAT, BitRAT и AsyncRAT.
В майской кампании в качестве основного инструмента для атак был выбран njRAT. Этот троян позволяет перехватывать нажатия клавиш на клавиатуре, получать изображения с камер, собирать информацию о системе жертвы и запущенных приложениях, делать снимки экрана и совершать другие шпионские действия.
Также в последних версиях этого вредонсоа можно расширить функциональность с помощью плагинов в виде сборок .net или других бинарных файлов. Плагины позволяют запускать дополнительные шпионские модули для сбора конфиденциальной информации. Например, в прошлых кампаниях группа использовала такие модули, чтобы определять местоположение жертвы, получать подробную информацию о системе (в частности об установленных приложениях), отключать защитное ПО и устанавливать малварь Meterpreter.
Атаки BlindEagle начинаются с целевых рассылок. Злоумышленники рассылают письма якобы от лица представителей государственной организации, в которых уведомляют жертв о штрафе за нарушение ПДД. Такие письма содержат вредоносные вложения, которые выглядят как PDF-файл, но на самом деле включают в себя вредоносный VBS-скрипт, который в несколько этапов загружает малварь в систему жертвы.
При этом группировка все чаще использует португальский язык и бразильские домены для многоступенчатой загрузки своей малвари. По словам исследователей, это свидетельствует о возможном сотрудничестве с другими хакерами. Так, BlindEagle использовала бразильский сайт хостинга изображений для распространения вредоносного кода, а ранее хакеры использовали такие сервисы, как Discord или Google Drive.
В июне 2024 года BlindEagle запустила отдельную кампанию, в которой использовался ранее нехарактерный для нее метод атак — DLL sideloading. Для первичного заражения злоумышленники рассылали вредоносные файлы под видом фиктивных судебных документов в формате PDF и DOCX. Они находились в составе ZIP-архива, в который хакеры добавляли еще и исполняемый файл, инициировавший заражение через DLL sideloading, и другие вредоносные файлы — для продолжения атаки. В этой кампании был использован троян удаленного доступа AsyncRAT.
