«Слепой орёл» охотится в Южной Америке и учит португальский

По данным Глобального центра исследований и анализа угроз «Лаборатории Касперского», известная с 2018 года хакерская группировка BlindEagle совершенствует свои кампании кибершпионажа. Среди обновлений — новый плагин для шпионажа и использование в процессе заражения легитимных бразильских файлообменников.

Группировка использует простые, но эффективные методы кибератак. В числе её жертв — организации и частные лица из стран Латинской Америки (в мае и июне 2024 года 87% жертв находились в Колумбии). В сферу интересов хакеров входят правительственные учреждения, энергетические и нефтегазовые организации, а также финансовые компании. 

Основные цели группы — шпионаж и кража финансовой информации. Для этого используются различные трояны удалённого доступа с открытым исходным кодом, в том числе njRAT, Lime-RAT, BitRAT.

В майской кампании в качестве основного инструмента использовался njRAT — троянец, который позволяет записывать все нажатия клавиш на клавиатуре, получать изображения с камер, собирать информацию о системе и запущенных приложениях, делать снимки экрана и совершать другие шпионские действия. В последних версиях зловред может расширять свою функциональность с помощью плагинов в виде сборок .net или других бинарных файлов. Эти плагины позволяют запускать дополнительные шпионские модули для сбора конфиденциальной информации (включая определение местоположения жертвы, подробную информацию о системе и установленных приложениях), обходить антивирусы и устанавливать вредонос Meterpreter.

Внедрение вредоносного софта начинается с целевой фишинговой рассылки. Электронные письма якобы от представителей госорганизации содержат вложение, которое выглядит как PDF-файл, при запуске загружающее шпионское ПО на целевое устройство в несколько этапов.

Изначально испаноязычный BlindEagle всё чаще использует португальский язык и бразильские домены для многоступенчатой загрузки ВПО, что говорит о возможном сотрудничестве с другими акторами, подчеркивают эксперты ЛК. Для распространения вредоносного кода группа использовала бразильский сайт хостинга изображений, а ранее использовались сервисы Discord или Google Drive.

В июне хакеры запустили отдельную кампанию, в которой использовался ранее нехарактерный для них метод DLL sideloading — способ выполнения вредоносного кода через библиотеки Windows. Для первичного заражения группировка рассылала вредоносные файлы под видом фиктивных судебных документов в формате PDF и DOCX, которые находились в составе ZIP-архива. В него же злоумышленники добавляли исполняемый файл, инициировавший заражение через DLL sideloading, и другие вредоносные файлы для продолжения атаки. В этой кампании был использован троянец удалённого доступа AsyncRAT.

20 августа, 2024

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

22.01.2025
Немкин: Количество сбоев в работе Google в России будет расти
21.01.2025
«Шёлковый тайфун» унёс внутреннюю документацию Минфина США
21.01.2025
ИИ-шников подготовят прямо «в поле»
21.01.2025
«Утечки особо чувствительных персональных данных не было»
21.01.2025
В Госдуме готова начать работу группа по защите геймеров от «чуждых ценностей»
21.01.2025
Плюс 600 млрд долларов за пять лет. Какие перспективы у ИИ в БРИКС
20.01.2025
Роскомнадзор расширит арсенал мер в отношении операторов ПДн
20.01.2025
BSS на iFin-2025: GenAI и LLM в мире клиентского сервиса, цифровой рубль и управление знаниями в современном банке
20.01.2025
Telegram-аккаунт можно взломать с помощью QR-кода для входа в чат
20.01.2025
Пегасовы конюшни вышли из «чёрного списка» к трёхзначным числам

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных