Blind Eagle bilgisayar korsanları, Latin Amerika'da RAT'leri dağıtmak için hedef odaklı kimlik avından yararlanıyor
Siber güvenlik araştırmacıları, Kolombiya, Ekvador, Şili, Panama ve diğer Latin Amerika ülkelerindeki varlıkları ve bireyleri sürekli olarak hedef alan Blind Eagle olarak bilinen bir tehdit aktörüne ışık tuttu.
Bu saldırıların hedefleri, devlet kurumları, finans şirketleri, enerji ve petrol ve gaz şirketleri dahil olmak üzere çeşitli sektörleri kapsamaktadır.
Kaspersky, pazartesi günü yayınladığı bir raporda, "Blind Eagle, siber saldırılarının hedeflerini şekillendirmede uyarlanabilirlik ve tamamen finansal amaçlı saldırılar ile casusluk operasyonları arasında geçiş yapma çok yönlülüğünü gösterdi" dedi.
APT-C-36 olarak da adlandırılan Blind Eagle'ın en az 2018'den beri aktif olduğuna inanılıyor. İspanyolca konuşan şüpheli grup, AsyncRAT, BitRAT, Lime RAT, NjRAT, Quasar RAT ve Remcos RAT gibi halka açık çeşitli uzaktan erişim truva atlarını dağıtmak için hedef odaklı kimlik avı tuzakları kullanmasıyla tanınır.
Bu Mart ayının başlarında, eSentire düşmanın Remcos RAT ve NjRAT'ı yaymak için Ande Loader adlı bir kötü amaçlı yazılım yükleyici kullandığını ayrıntılı olarak açıkladı.
Başlangıç noktası, meşru devlet kurumlarını ve finans ve bankacılık kuruluşlarını taklit eden bir kimlik avı e-postasıdır ve alıcıları, taklit edilen kuruluşun resmi web sitesine yönlendirdiğini iddia eden bir bağlantıya tıklayarak aldatıcı bir şekilde acil önlem almaları konusunda uyarır.
E-posta mesajları ayrıca aynı URL'yi içeren bir PDF veya Microsoft Word eki ve bazı durumlarda, daha yüksek bir aciliyet işareti vermek ve ona bir meşruiyet cilası vermek için tasarlanmış birkaç ek ayrıntı içerir.
İlk URL grubu, kullanıcıları, ilk damlalığı barındıran, aktör tarafından kontrol edilen sitelere yönlendirir, ancak yalnızca kurbanın grubun hedefleri arasında yer alan bir ülkeye ait olup olmadığını belirledikten sonra. Aksi takdirde, saldırganların kimliğine büründüğü kuruluşun sitesine yönlendirilirler.
Rus siber güvenlik satıcısı, "Bu coğrafi yönlendirme, yeni kötü amaçlı sitelerin işaretlenmesini engelliyor ve bu saldırıların avlanmasını ve analizini engelliyor" dedi.
İlk damlalık, sıkıştırılmış bir ZIP arşivi biçiminde gelir ve bu arşiv, sırayla, sabit kodlanmış bir uzak sunucudan sonraki aşama yükünü almaktan sorumlu bir Visual Basic Komut Dosyası (VBS) yerleştirir. Bu sunucular, resim barındırma sitelerinden Pastebin'e, Discord ve GitHub gibi meşru hizmetlere kadar değişebilir.
Genellikle steganografik yöntemler kullanılarak gizlenen ikinci aşama kötü amaçlı yazılım, daha sonra son aşama truva atını almak için başka bir kötü amaçlı sunucuyla iletişim kuran bir DLL veya .NET enjektörüdür.
Kaspersky, "Grup, RAT'ı meşru bir sürecin hafızasında yürütmek için genellikle süreç enjeksiyon tekniklerini kullanıyor ve böylece süreç tabanlı savunmalardan kaçınıyor" dedi.
"Grubun tercih ettiği teknik, süreç içi boşaltmadır. Bu teknik, askıya alınmış bir durumda meşru bir işlem oluşturmaktan, ardından belleğinin eşlemesini kaldırmaktan, onu kötü amaçlı bir yükle değiştirmekten ve son olarak yürütmeyi başlatmak için işlemi devam ettirmekten oluşur."
Açık kaynaklı RAT'lerin değiştirilmiş sürümlerinin kullanılması, Blind Eagle'a kampanyalarını istediği gibi değiştirme, bunları siber casusluk için kullanma veya pencere başlıkları kötü amaçlı yazılımdaki önceden tanımlanmış bir dize listesiyle eşleştiğinde kurbanın tarayıcısından Kolombiya finansal hizmetleri için kimlik bilgilerini yakalama esnekliği sağlar.
Öte yandan, NjRAT'ın değiştirilmiş sürümlerinin, hassas bilgileri toplamak için keylogging ve ekran görüntüsü yakalama yetenekleriyle donatıldığı gözlemlendi. Ayrıca, güncellenmiş sürüm, işlevselliğini artırmak için bir sunucudan gönderilen ek eklentilerin yüklenmesini destekler.
Değişiklikler aynı zamanda saldırı zincirlerine de uzanıyor. Haziran 2024 gibi yakın bir tarihte AsyncRAT, Hijack Loader adlı bir kötü amaçlı yazılım yükleyici aracılığıyla dağıtıldı ve bu da tehdit aktörlerinin yüksek düzeyde uyarlanabilirlik olduğunu gösteriyor. Ayrıca, operasyonlarını sürdürmek için yeni tekniklerin eklenmesini vurgulamaya da hizmet eder.
Kaspersky, "BlindEagle'ın teknikleri ve prosedürleri ne kadar basit görünse de, etkinlikleri grubun yüksek düzeyde bir faaliyeti sürdürmesine olanak tanıyor" dedi. "Sürekli olarak siber casusluk ve finansal kimlik bilgisi hırsızlığı kampanyaları yürüten Blind Eagle, bölgede önemli bir tehdit olmaya devam ediyor.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı