Новости «Слепой Орёл» атакует Колумбию: как письмо от налоговой может привести к полной компрометации

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
За безобидным PDF-файлом скрывается ловушка, от которой трудно спастись.


053yooekp7132e5hg59zhv2ds2mqk473.jpg


Колумбийский страховой сектор стал целью хакерской группы BlindEagle, которая с июня 2024 года активно распространяет модифицированную версию известного вредоносного программного обеспечения Quasar RAT. Исследователи из компании Zscaler сообщили в Для просмотра ссылки Войди или Зарегистрируйся что атаки начинаются с фишинговых писем, которые маскируются под официальные сообщения налоговой службы Колумбии.

BlindEagle, также известная как AguilaCiega и APT-C-36, уже не первый год атакует организации и частных лиц в Южной Америке. В основном они нацелены на правительственные и финансовые учреждения Колумбии и Эквадора, однако буквально в прошлом месяце Для просмотра ссылки Войди или Зарегистрируйся как группировка атаковала бразильские организации.

Основным инструментом для распространения вредоносного ПО являются фишинговые письма, содержащие ссылки на вредоносные файлы. Эти письма содержат либо вложенные PDF-файлы, либо ссылки в тексте, которые ведут на скачивание ZIP-архивов, размещённых на Google Drive. Примечательно, что файлы загружаются со скомпрометированных аккаунтов, которые ранее принадлежали правительственным организациям Колумбии.

Атака основана на том, чтобы создать у жертвы ощущение срочности. Злоумышленники отправляют уведомления, якобы от лица налоговой службы, о необходимости срочной оплаты задолженности по налогам. Это вынуждает получателей открыть вредоносные ссылки, что становится началом процесса заражения.

В ZIP-архиве скрывается модифицированная версия Quasar RAT, получившая название BlotchyQuasar. Вредоносное ПО дополнительно защищено инструментами обфускации, что затрудняет его анализ и выявление. Подобные методы были детально описаны в исследовании IBM, Для просмотра ссылки Войди или Зарегистрируйся

BlotchyQuasar способен перехватывать нажатия клавиш, выполнять команды через оболочку, похищать данные из браузеров и FTP-клиентов, а также отслеживать действия жертвы в банковских и платёжных сервисах в Колумбии и Эквадоре. Кроме того, вредоносное ПО использует сервис Pastebin для получения данных о командном сервере, а также Dynamic DNS-сервисы для размещения доменов управления.

Для сокрытия своей инфраструктуры BlindEagle использует VPN-сервисы и скомпрометированные маршрутизаторы, преимущественно находящиеся в Колумбии. Эксперты отмечают, что эта группа продолжает применять схожие стратегии для маскировки своих атак.

BlindEagle продолжает доказывать, что даже известные инструменты, такие как Quasar RAT, могут стать опасным оружием в руках опытных злоумышленников, если их модифицировать и использовать в целевых атаках. Сложные методы сокрытия инфраструктуры и умелая маскировка под официальные ведомства подчёркивает важность усиленной киберзащиты, особенно для финансовых и государственных организаций, которые остаются приоритетными целями подобных группировок.
 
Источник новости
www.securitylab.ru

Похожие темы