«Слепой орёл» охотится в Южной Америке и учит португальский

По данным Глобального центра исследований и анализа угроз «Лаборатории Касперского», известная с 2018 года хакерская группировка BlindEagle совершенствует свои кампании кибершпионажа. Среди обновлений — новый плагин для шпионажа и использование в процессе заражения легитимных бразильских файлообменников.

Группировка использует простые, но эффективные методы кибератак. В числе её жертв — организации и частные лица из стран Латинской Америки (в мае и июне 2024 года 87% жертв находились в Колумбии). В сферу интересов хакеров входят правительственные учреждения, энергетические и нефтегазовые организации, а также финансовые компании. 

Основные цели группы — шпионаж и кража финансовой информации. Для этого используются различные трояны удалённого доступа с открытым исходным кодом, в том числе njRAT, Lime-RAT, BitRAT.

В майской кампании в качестве основного инструмента использовался njRAT — троянец, который позволяет записывать все нажатия клавиш на клавиатуре, получать изображения с камер, собирать информацию о системе и запущенных приложениях, делать снимки экрана и совершать другие шпионские действия. В последних версиях зловред может расширять свою функциональность с помощью плагинов в виде сборок .net или других бинарных файлов. Эти плагины позволяют запускать дополнительные шпионские модули для сбора конфиденциальной информации (включая определение местоположения жертвы, подробную информацию о системе и установленных приложениях), обходить антивирусы и устанавливать вредонос Meterpreter.

Внедрение вредоносного софта начинается с целевой фишинговой рассылки. Электронные письма якобы от представителей госорганизации содержат вложение, которое выглядит как PDF-файл, при запуске загружающее шпионское ПО на целевое устройство в несколько этапов.

Изначально испаноязычный BlindEagle всё чаще использует португальский язык и бразильские домены для многоступенчатой загрузки ВПО, что говорит о возможном сотрудничестве с другими акторами, подчеркивают эксперты ЛК. Для распространения вредоносного кода группа использовала бразильский сайт хостинга изображений, а ранее использовались сервисы Discord или Google Drive.

В июне хакеры запустили отдельную кампанию, в которой использовался ранее нехарактерный для них метод DLL sideloading — способ выполнения вредоносного кода через библиотеки Windows. Для первичного заражения группировка рассылала вредоносные файлы под видом фиктивных судебных документов в формате PDF и DOCX, которые находились в составе ZIP-архива. В него же злоумышленники добавляли исполняемый файл, инициировавший заражение через DLL sideloading, и другие вредоносные файлы для продолжения атаки. В этой кампании был использован троянец удалённого доступа AsyncRAT.

20 августа, 2024

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

30.06.2025
Всё связать до 1 июля: «симку», биометрию, «Госуслуги»
30.06.2025
Нейросетям поставили задачу усовершенствовать бюджетный процесс
30.06.2025
Draugnet послужит демократизации отчётности по киберугрозам
30.06.2025
Россиян превращают в дропперов особо изощрённым способом
30.06.2025
Банк России сдал нулевой срез по цифровому рублю
30.06.2025
Половина безопасников хочет приостановить развёртывание GenAI
27.06.2025
«Корыстные цели и низкий уровень правовой культуры». Телеком-лицензии — только в чистые руки
27.06.2025
США опасаются усиления иранских кибератак после авиаударов
27.06.2025
«Можно было бы просто запретить импорт отдельных сегментов». «Аквариус» — о вечном
27.06.2025
ИИ позволяет бороться с телефонными мошенниками, сохраняя тайну связи

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных