Слепой орёл-шпион отслеживает компании в Южной Америке

ThreatMon Blind Eagle PowerShell VBScript JavaScript RAT njRAT RaaS социальная инженерия фишинг
Слепой орёл-шпион отслеживает компании в Южной Америке
ThreatMon Blind Eagle PowerShell VBScript JavaScript RAT njRAT RaaS социальная инженерия фишинг

Группировка Blind Eagle использует многоэтапную цепочку атак для кражи конфиденциальных данных целевых организаций.

image

Специалисты ИБ-компании ThreatMon сообщают , что кибершпионская группировка Blind Eagle проводит новую многоэтапную цепочку атак, которая приводит к развертыванию трояна удаленного доступа (RAT) NjRAT на скомпрометированных системах.

Blind Eagle (APT-C-36) – предположительно испаноязычная группа, которая базируется на территории Южной Америки и с 2018 года наносит удары по предприятиям частного и государственного секторов в Колумбии, Эквадоре, Чили и Испании.

Кампания, обнаруженная ThreatMon, состоит из следующих шагов:

  • система компрометируется с помощью RaaS (вредоносное ПО-как-услуга), атак социальной инженерии или фишинговых атак;
  • в систему загружается JavaScript-загрузчик, который выполняет PowerShell-сценарий, размещенный в Discord CDN;
  • сценарий удаляет другой PowerShell-сценарий и пакетный файл Windows, а затем сохраняет файл VBScript в папке автозагрузки Windows для обеспечения постоянства;
  • выполняется код VBScript, который запускает пакетный файл;
  • пакетный файл подвергается деобфускации для запуска PowerShell-сценария, доставленного ранее вместе с этим файлом;
  • на заключительном этапе PowerShell-скрипт запускает njRAT.

NjRAT (он же Bladabindi), впервые обнаруженный в 2013 году, обладает множеством возможностей, которые позволяют злоумышленникам собирать конфиденциальную информацию и получать контроль над скомпрометированными компьютерами.

Установившись на системе, njRAT предоставляет киберпреступникам полный удаленный доступ к ней, где они могут осуществлять вредоносные действия, в том числе модифицировать реестр Windows, загружать/создавать/удалять файлы, выполнять команды, извлекать данные о компьютере, записывать нажатия клавиш на клавиатуре, похищать пароли, завершать процессы и делать скриншоты.

Напомним, что 27 февраля исследовательская группа BlackBerry сообщила , что Blind Eagle смогла выдать себя за государственное налоговое агентство Колумбии и Эквадора, чтобы похитить информацию из правительственных, финансовых и многих других учреждений этих стран.

Мы нашли признаки жизни...в вашем смартфоне!

Наш канал — питательная среда для вашего интеллекта

Эволюционируйте вместе с нами — подпишитесь!