Cybersecurity-Experten haben ein Licht auf eine Bedrohungsgruppe namens Blind Eagle geworfen, die beharrlich Einzelpersonen und Organisationen in Kolumbien, Ecuador, Chile, Panama und anderen lateinamerikanischen Ländern ins Visier nimmt.
Die Ziele dieser Angriffe erstrecken sich über mehrere Sektoren, darunter Regierungsinstitutionen, Finanzunternehmen, Energie- und Öl- und Gasunternehmen.
„Blind Eagle hat sich in der Anpassung seiner Ziele für Cyberangriffe und in der Vielseitigkeit, zwischen rein finanziell motivierten Angriffen und Spionageoperationen zu wechseln, gezeigt“, sagte Kaspersky in einem Bericht vom Montag.
Auch bekannt als APT-C-36, ist davon auszugehen, dass Blind Eagle mindestens seit 2018 aktiv ist. Die vermutete spanischsprachige Gruppe ist dafür bekannt, Spear-Phishing-Köder zu verwenden, um verschiedene öffentlich verfügbare Remote-Access-Trojaner wie AsyncRAT, BitRAT, Lime RAT, NjRAT, Quasar RAT und Remcos RAT zu verbreiten.
Im März dieses Jahres beschrieb eSentire den Einsatz eines Schadsoftware-Loaders namens Ande Loader durch den Gegner, um Remcos RAT und NjRAT zu verbreiten.
Der Ausgangspunkt ist eine Phishing-E-Mail, die legitime Regierungsinstitutionen sowie Finanz- und Bankinstitute nachahmt und die Empfänger irreführend auffordert, durch Klicken auf einen Link, der sie angeblich zur offiziellen Website der imitierten Einrichtung führt, dringend zu handeln.
Die E-Mail-Nachrichten enthalten auch einen PDF- oder Microsoft Word-Anhang, der dieselbe URL enthält und in einigen Fällen einige zusätzliche Details, die darauf abzielen, ein erhöhtes Maß an Dringlichkeit zu vermitteln und ihm einen Hauch von Legitimität zu verleihen.
Die erste Reihe von URLs leitet die Benutzer zu von den Angreifern kontrollierten Websites um, die einen initialen Dropper hosten, allerdings nur, nachdem festgestellt wurde, ob das Opfer zu einem der Zielgruppenländer gehört. Andernfalls werden sie zur Website der Organisation geführt, die die Angreifer imitieren.
„Diese geografische Umleitung verhindert, dass neue bösartige Websites erkannt werden, und vereitelt die Untersuchung und Analyse dieser Angriffe“, sagte der russische Cybersicherheitsanbieter.
Der initielle Dropper kommt in Form eines komprimierten ZIP-Archivs daher, das wiederum ein Visual Basic Script (VBS) einbettet, das für das Abrufen der Payload der nächsten Stufe von einem fest codierten Remote-Server verantwortlich ist. Diese Server können von Bild-Hosting-Sites bis hin zu Pastebin bis zu legitimen Diensten wie Discord und GitHub reichen.
Die Malware der zweiten Stufe, oft unter Verwendung steganographischer Methoden verschleiert, ist ein DLL- oder .NET-Injektor, der anschließend einen weiteren bösartigen Server kontaktiert, um den Trojaner der letzten Stufe abzurufen.
„Die Gruppe nutzt oft Techniken zur Prozesseinspritzung, um den RAT im Speicher eines legitimen Prozesses auszuführen, um so prozessbasierten Abwehrmaßnahmen zu entgehen“, sagte Kaspersky.
„Die bevorzugte Technik der Gruppe ist das Prozess-Hollowing. Diese Technik besteht darin, einen legitimen Prozess im ausgesetzten Zustand zu erstellen, dann seinen Speicher zu entriegeln, ihn mit einer bösartigen Nutzlast zu ersetzen und schließlich den Prozess wieder aufzunehmen, um die Ausführung zu starten.“
Die Verwendung modifizierter Versionen von Open-Source-RATs bietet Blind Eagle die Flexibilität, ihre Kampagnen nach Belieben zu modifizieren, um sie für Cyber-Spionage oder das Erfassen von Anmeldeinformationen für kolumbianische Finanzdienstleistungen aus dem Browser des Opfers zu verwenden, wenn die Fenstertitel mit einer vordefinierten Liste von Zeichenfolgen in der Malware übereinstimmen.
Auf der anderen Seite wurden modifizierte Versionen von NjRAT mit Keylogging- und Screenshot-Erfassungsfunktionen beobachtet, um sensible Informationen zu sammeln. Darüber hinaus unterstützt die aktualisierte Version die Installation von zusätzlichen Plugins, die von einem Server gesendet werden, um ihre Funktionalität zu erweitern.
Die Änderungen erstrecken sich auch auf die Angriffsketten. So wurde beispielsweise im Juni 2024 AsyncRAT über einen Schadsoftware-Loader namens Hijack Loader verbreitet, was auf ein hohes Maß an Anpassungsfähigkeit seitens der Bedrohungsakteure hinweist. Dies dient auch dazu, die Hinzufügung neuer Techniken zur Aufrechterhaltung ihrer Operationen zu verdeutlichen.
„So einfach die Techniken und Verfahren von BlindEagle auch erscheinen mögen, ihre Effektivität ermöglicht es der Gruppe, ein hohes Aktivitätsniveau aufrechtzuerhalten“, folgerte Kaspersky. „Durch die konsequente Durchführung von Cyber-Spionage- und Finanzkreditdiebstahlkampagnen bleibt Blind Eagle eine bedeutende Bedrohung in der Region.“
Quelle: https://ift.tt/zWawqm8