«Слепой орёл» охотится в Южной Америке и учит португальский

По данным Глобального центра исследований и анализа угроз «Лаборатории Касперского», известная с 2018 года хакерская группировка BlindEagle совершенствует свои кампании кибершпионажа. Среди обновлений — новый плагин для шпионажа и использование в процессе заражения легитимных бразильских файлообменников.

Группировка использует простые, но эффективные методы кибератак. В числе её жертв — организации и частные лица из стран Латинской Америки (в мае и июне 2024 года 87% жертв находились в Колумбии). В сферу интересов хакеров входят правительственные учреждения, энергетические и нефтегазовые организации, а также финансовые компании. 

Основные цели группы — шпионаж и кража финансовой информации. Для этого используются различные трояны удалённого доступа с открытым исходным кодом, в том числе njRAT, Lime-RAT, BitRAT.

В майской кампании в качестве основного инструмента использовался njRAT — троянец, который позволяет записывать все нажатия клавиш на клавиатуре, получать изображения с камер, собирать информацию о системе и запущенных приложениях, делать снимки экрана и совершать другие шпионские действия. В последних версиях зловред может расширять свою функциональность с помощью плагинов в виде сборок .net или других бинарных файлов. Эти плагины позволяют запускать дополнительные шпионские модули для сбора конфиденциальной информации (включая определение местоположения жертвы, подробную информацию о системе и установленных приложениях), обходить антивирусы и устанавливать вредонос Meterpreter.

Внедрение вредоносного софта начинается с целевой фишинговой рассылки. Электронные письма якобы от представителей госорганизации содержат вложение, которое выглядит как PDF-файл, при запуске загружающее шпионское ПО на целевое устройство в несколько этапов.

Изначально испаноязычный BlindEagle всё чаще использует португальский язык и бразильские домены для многоступенчатой загрузки ВПО, что говорит о возможном сотрудничестве с другими акторами, подчеркивают эксперты ЛК. Для распространения вредоносного кода группа использовала бразильский сайт хостинга изображений, а ранее использовались сервисы Discord или Google Drive.

В июне хакеры запустили отдельную кампанию, в которой использовался ранее нехарактерный для них метод DLL sideloading — способ выполнения вредоносного кода через библиотеки Windows. Для первичного заражения группировка рассылала вредоносные файлы под видом фиктивных судебных документов в формате PDF и DOCX, которые находились в составе ZIP-архива. В него же злоумышленники добавляли исполняемый файл, инициировавший заражение через DLL sideloading, и другие вредоносные файлы для продолжения атаки. В этой кампании был использован троянец удалённого доступа AsyncRAT.

20 августа, 2024

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

03.07.2025
В Госдуме продолжают намекать на преимущества импортозамещения
03.07.2025
Котята отрастили щупальца. Kraken целится в Apple издалека?
03.07.2025
DLBI: До конца года стилеры могут парализовать поиск «удалёнки» в РФ
03.07.2025
Международный уголовный суд подвергается атакам хакеров
03.07.2025
17% компаний выбирает ноутбуки с предустановленными отечественными ОС
02.07.2025
Сотрудникам Microsoft не уйти от использования ИИ. Как и всем остальным…
02.07.2025
Полицейские констатируют резкий рост киберпреступности в Африке
02.07.2025
Мнение: Один «суверенный» процессор обойдётся в 5 млрд рублей
02.07.2025
Количество атак ClickFix выросло шестикратно за полгода
02.07.2025
Мигранты в США играют с «таможенниками» в киберпрятки

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных