VietNetwork.Vn

Ngành bảo hiểm Colombia là mục tiêu của một tác nhân đe dọa được theo dõi với tên gọi Blind Eagle với mục tiêu cuối cùng là phát tán phiên bản tùy chỉnh của một loại trojan truy cập từ xa (RAT) phổ biến có tên là Quasar RAT kể từ tháng 6 năm 2024.

"Các cuộc tấn công bắt nguồn từ email lừa đảo mạo danh cơ quan thuế Colombia", nhà nghiên cứu Gaetano Pellegrino của Zscaler ThreatLabz cho biết trong một phân tích mới được công bố tuần trước.


Mối đe dọa dai dẳng nâng cao (APT), còn được gọi là AguilaCiega, APT-C-36 và APT-Q-98, thường tập trung vào các tổ chức và cá nhân ở Nam Mỹ, đặc biệt liên quan đến các lĩnh vực chính phủ và tài chính ở Colombia và Ecuador.

Theo ghi nhận gần đây của Kaspersky, chuỗi tấn công bắt nguồn từ các email lừa đảo dụ người nhận nhấp vào các liên kết độc hại đóng vai trò là bệ phóng cho quá trình lây nhiễm.

Các liên kết, được nhúng trong tệp đính kèm PDF hoặc trực tiếp trong nội dung email, sẽ trỏ đến kho lưu trữ ZIP được lưu trữ trên thư mục Google Drive có liên quan đến một tài khoản bị xâm phạm thuộc một tổ chức chính quyền khu vực ở Colombia.

"Mồi nhử mà Blind Eagle sử dụng bao gồm việc gửi thông báo cho nạn nhân, tuyên bố là lệnh tịch thu do các khoản thuế chưa thanh toán", Pellegrino lưu ý. "Điều này nhằm mục đích tạo ra cảm giác cấp bách và gây áp lực buộc nạn nhân phải hành động ngay lập tức".


Kho lưu trữ này chứa một biến thể Quasar RAT có tên là BlotchyQuasar, chứa các lớp che giấu bổ sung bằng các công cụ như DeepSea hoặc ConfuserEx để cản trở các nỗ lực phân tích và kỹ thuật đảo ngược. IBM X-Force đã nêu chi tiết về biến thể này vào tháng 7 năm 2023.

Phần mềm độc hại này có khả năng ghi lại các lần nhấn phím, thực thi lệnh shell, đánh cắp dữ liệu từ trình duyệt web và máy khách FTP, cũng như theo dõi tương tác của nạn nhân với các dịch vụ thanh toán và ngân hàng cụ thể có trụ sở tại Colombia và Ecuador.

Nó cũng tận dụng Pastebin như một trình giải quyết thư mục chết để lấy tên miền chỉ huy và kiểm soát (C2), trong khi kẻ tấn công tận dụng dịch vụ DNS động (DDNS) để lưu trữ tên miền C2.

"Blind Eagle thường bảo vệ cơ sở hạ tầng của mình bằng cách kết hợp các nút VPN và bộ định tuyến bị xâm phạm, chủ yếu nằm ở Colombia", Pellegrino cho biết. "Cuộc tấn công này chứng minh việc tiếp tục sử dụng chiến lược này".