Кибергруппа BlindEagle обновила свои методы
По данным Глобального центра исследований и анализа угроз «Лаборатории Касперского», известная с 2018 года кибергруппа BlindEagle совершенствует свои кампании кибершпионажа, направленные на частных лиц и организации преимущественно из Колумбии. Среди обновлений — новый плагин для шпионажа и использование в процессе заражения легитимных бразильских файлообменников.
В числе жертв BlindEagle — организации и частные лица в Колумбии, Эквадоре и других странах Латинской Америки. В сфере интересов группы — правительственные учреждения, энергетические и нефтегазовые организации, финансовые компании. В мае и июне 2024 года 87% жертв находились в Колумбии. Основные цели группы — шпионаж и кража финансовой информации. Для этого используются различные троянцы удалённого доступа с открытым исходным кодом, в том числе njRAT, Lime-RAT, BitRAT.
В кампании, которая проходила в мае 2024 года, в качестве основного инструмента был выбран njRAT. Этот троянец позволяет записывать все нажатия клавиш на клавиатуре, получать изображения с камер, собирать информацию о системе и запущенных приложениях, делать снимки экрана и совершать другие шпионские действия. В последних версиях зловред может расширять свою функциональность с помощью плагинов в виде сборок .net или других бинарных файлов. Плагины позволяют запускать дополнительные шпионские модули для сбора конфиденциальной информации. Например, в прошлых кампаниях группа использовала такие модули, чтобы определять местоположение жертвы, получать подробную информацию о системе, в частности об установленных приложениях, отключать защитное ПО и устанавливать вредоносное ПО Meterpreter.
Как происходит заражение. Внедрение вредоносного ПО начинается с целевой рассылки. Злоумышленники рассылают электронные письма якобы от представителей государственной организации, в которых уведомляют жертв о штрафе за нарушение правил дорожного движения. Письмо содержит вредоносное вложение, которое выглядит как PDF-файл, но на самом деле включает в себя вредоносный сценарий Visual Basic Script (VBS), который в несколько этапов загружает шпионское ПО на целевое устройство.
От испанского — к португальскому. BlindEagle всё чаще использует португальский язык и бразильские домены для многоступенчатой загрузки вредоносных программ, что говорит о возможном сотрудничестве с другими акторами. Группа использовала бразильский сайт хостинга изображений для распространения вредоносного кода. Ранее они использовали такие сервисы, как Discord или Google Drive.
Новый метод. В июне 2024 года BlindEagle запустила отдельную кампанию, в которой использовался ранее нехарактерный для неё метод DLL sideloading — способ выполнения вредоносного кода через библиотеки Windows. Для первичного заражения группа рассылала вредоносные файлы под видом фиктивных судебных документов в формате PDF и DOCX. Они находились в составе ZIP-архива, в который злоумышленники добавляли также исполняемый файл, инициировавший заражение через DLL sideloading, и другие вредоносные файлы — для продолжения атаки. В этой кампании был использован троянец удалённого доступа AsyncRAT.
Для защиты от подобных кибератак специалисты «Лаборатории Касперского» рекомендуют предоставлять сотрудникам отдела кибербезопасности возможность доступа к свежей информации о новейших тактиках, техниках и процедурах злоумышленников, например с помощью сервисов Threat Intelligence, а также использовать защитные технологии, которые регулярно получают награды от независимых тестовых лабораторий.
