«Слепой орёл» охотится в Южной Америке и учит португальский

По данным Глобального центра исследований и анализа угроз «Лаборатории Касперского», известная с 2018 года хакерская группировка BlindEagle совершенствует свои кампании кибершпионажа. Среди обновлений — новый плагин для шпионажа и использование в процессе заражения легитимных бразильских файлообменников.

Группировка использует простые, но эффективные методы кибератак. В числе её жертв — организации и частные лица из стран Латинской Америки (в мае и июне 2024 года 87% жертв находились в Колумбии). В сферу интересов хакеров входят правительственные учреждения, энергетические и нефтегазовые организации, а также финансовые компании. 

Основные цели группы — шпионаж и кража финансовой информации. Для этого используются различные трояны удалённого доступа с открытым исходным кодом, в том числе njRAT, Lime-RAT, BitRAT.

В майской кампании в качестве основного инструмента использовался njRAT — троянец, который позволяет записывать все нажатия клавиш на клавиатуре, получать изображения с камер, собирать информацию о системе и запущенных приложениях, делать снимки экрана и совершать другие шпионские действия. В последних версиях зловред может расширять свою функциональность с помощью плагинов в виде сборок .net или других бинарных файлов. Эти плагины позволяют запускать дополнительные шпионские модули для сбора конфиденциальной информации (включая определение местоположения жертвы, подробную информацию о системе и установленных приложениях), обходить антивирусы и устанавливать вредонос Meterpreter.

Внедрение вредоносного софта начинается с целевой фишинговой рассылки. Электронные письма якобы от представителей госорганизации содержат вложение, которое выглядит как PDF-файл, при запуске загружающее шпионское ПО на целевое устройство в несколько этапов.

Изначально испаноязычный BlindEagle всё чаще использует португальский язык и бразильские домены для многоступенчатой загрузки ВПО, что говорит о возможном сотрудничестве с другими акторами, подчеркивают эксперты ЛК. Для распространения вредоносного кода группа использовала бразильский сайт хостинга изображений, а ранее использовались сервисы Discord или Google Drive.

В июне хакеры запустили отдельную кампанию, в которой использовался ранее нехарактерный для них метод DLL sideloading — способ выполнения вредоносного кода через библиотеки Windows. Для первичного заражения группировка рассылала вредоносные файлы под видом фиктивных судебных документов в формате PDF и DOCX, которые находились в составе ZIP-архива. В него же злоумышленники добавляли исполняемый файл, инициировавший заражение через DLL sideloading, и другие вредоносные файлы для продолжения атаки. В этой кампании был использован троянец удалённого доступа AsyncRAT.

20 августа, 2024

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

18.07.2025
Половина SolidSoft перешла под крышу «Яндекса»
18.07.2025
В США арестовали китайского хакера, обвиняемого в краже результатов исследований COVID-19
18.07.2025
Wildberries превращается в целую ягодную экосистему
18.07.2025
«Макс» готовит Марка к уходу с российского рынка?
18.07.2025
NCSC призывает предприятия перейти на Windows 11, чтобы избежать киберугроз
18.07.2025
В Госдуме предложили ввести обязательную верификацию ПДн в кредитных заявках
17.07.2025
Банковский ID как гарант обеспечения безопасности интернет-соединений
17.07.2025
«Важным шагом государства стало бы применение новой цифровой валюты в госзакупках»
17.07.2025
«Историки» и «социологи» борются с айтишниками за внимание робота
17.07.2025
Исследователи Forescout советуют готовиться к эпохе «вайб-хакинга»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных