Tin tặc Blind Eagle khai thác Spear-Phishing để triển khai RAT ở Mỹ Latinh

Tác giả ChatGPT, T.Tám 20, 2024, 08:28:16 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Các nhà nghiên cứu an ninh mạng đã làm sáng tỏ một tác nhân đe dọa có tên là Blind Eagle, kẻ đã liên tục nhắm mục tiêu vào các thực thể và cá nhân ở Colombia, Ecuador, Chile, Panama và các quốc gia Mỹ Latinh khác.

Mục tiêu của các cuộc tấn công này trải rộng trên nhiều lĩnh vực, bao gồm các tổ chức chính phủ, công ty tài chính, công ty năng lượng và dầu khí.


"Blind Eagle đã chứng tỏ khả năng thích ứng trong việc xác định mục tiêu của các cuộc tấn công mạng và tính linh hoạt để chuyển đổi giữa các cuộc tấn công hoàn toàn có động cơ tài chính và các hoạt động gián điệp", Kaspersky cho biết trong một báo cáo hôm thứ Hai.

Còn được gọi là APT-C-36, Blind Eagle được cho là đã hoạt động ít nhất từ năm 2018. Nhóm bị nghi ngờ nói tiếng Tây Ban Nha được biết đến với việc sử dụng mồi nhử lừa đảo trực tuyến để phân phối nhiều loại trojan truy cập từ xa có sẵn công khai như AsyncRAT, BitRAT, RAT vôi, NjRAT, Quasar RAT và Remcos RAT.

Đầu tháng 3 này, eSentire đã trình bày chi tiết việc kẻ thù sử dụng trình tải phần mềm độc hại có tên Ande Loader để phát tán Remcos RAT và NjRAT.

Điểm bắt đầu là một email lừa đảo mạo danh các tổ chức chính phủ hợp pháp và các tổ chức tài chính ngân hàng nhằm lừa đảo cảnh báo người nhận thực hiện hành động khẩn cấp bằng cách nhấp vào liên kết có mục đích dẫn họ đến trang web chính thức của tổ chức bị bắt chước.

Các email cũng bao gồm tệp đính kèm PDF hoặc Microsoft Word có cùng một URL và trong một số trường hợp, một số chi tiết bổ sung được thiết kế để truyền đạt dấu hiệu khẩn cấp cao hơn và tạo cho nó vẻ ngoài hợp pháp.

Nhóm URL đầu tiên hướng người dùng đến các trang web do tác nhân kiểm soát lưu trữ phần mềm nhỏ giọt ban đầu, nhưng chỉ sau khi xác định xem nạn nhân có thuộc quốc gia nằm trong mục tiêu của nhóm hay không. Ngược lại, họ sẽ được dẫn đến trang web của tổ chức mà những kẻ tấn công đang mạo danh.

Nhà cung cấp dịch vụ an ninh mạng của Nga cho biết: "Việc chuyển hướng theo địa lý này ngăn chặn việc gắn cờ các trang web độc hại mới, đồng thời cản trở việc tìm kiếm và phân tích các cuộc tấn công này".


Công cụ nhỏ giọt ban đầu có dạng kho lưu trữ ZIP nén, sau đó, kho lưu trữ này nhúng Visual Basic Script (VBS) chịu trách nhiệm truy xuất tải trọng giai đoạn tiếp theo từ máy chủ từ xa được mã hóa cứng. Các máy chủ này có thể bao gồm từ các trang web lưu trữ hình ảnh, Pastebin cho đến các dịch vụ hợp pháp như Discord và GitHub.

Phần mềm độc hại giai đoạn hai, thường bị làm xáo trộn bằng phương pháp steganographic, là một DLL hoặc một bộ tiêm .NET, sau đó liên hệ với một máy chủ độc hại khác để truy xuất trojan giai đoạn cuối.

Kaspersky cho biết: "Nhóm này thường sử dụng các kỹ thuật chèn quy trình để thực thi RAT trong bộ nhớ của một quy trình hợp pháp, từ đó tránh được các biện pháp phòng vệ dựa trên quy trình".

"Kỹ thuật ưa thích của nhóm là làm rỗng quy trình. Kỹ thuật này bao gồm tạo ra một quy trình hợp pháp ở trạng thái tạm dừng, sau đó hủy ánh xạ bộ nhớ của nó, thay thế nó bằng một tải trọng độc hại và cuối cùng tiếp tục quy trình để bắt đầu thực thi."

Việc sử dụng các phiên bản sửa đổi của RAT nguồn mở mang lại cho Blind Eagle sự linh hoạt để sửa đổi các chiến dịch của họ theo ý muốn, sử dụng chúng cho hoạt động gián điệp mạng hoặc lấy thông tin xác thực về các dịch vụ tài chính Colombia từ trình duyệt của nạn nhân khi tiêu đề cửa sổ khớp với danh sách chuỗi được xác định trước trong phần mềm độc hại.

Mặt khác, các phiên bản thay đổi của NjRAT đã được quan sát thấy có khả năng ghi lại thao tác bàn phím và chụp ảnh màn hình để thu thập thông tin nhạy cảm. Hơn nữa, phiên bản cập nhật hỗ trợ cài đặt các plugin bổ sung được gửi từ máy chủ để tăng cường chức năng của nó.

Những thay đổi cũng mở rộng đến chuỗi tấn công. Gần đây nhất là vào tháng 6 năm 2024, AsyncRAT đã được phân phối thông qua trình tải phần mềm độc hại có tên là Hijack Loader, cho thấy mức độ thích ứng cao của các tác nhân đe dọa. Nó cũng nhằm nhấn mạnh việc bổ sung các kỹ thuật mới để duy trì hoạt động của họ.

Kaspersky kết luận: "Các kỹ thuật và quy trình của BlindEagle có vẻ đơn giản nhưng tính hiệu quả của chúng cho phép nhóm duy trì mức độ hoạt động cao". "Bằng cách liên tục thực hiện các chiến dịch gián điệp mạng và đánh cắp thông tin xác thực tài chính, Blind Eagle vẫn là mối đe dọa đáng kể trong khu vực.