«Слепой Орёл» атакует Колумбию: как письмо от налоговой может привести к полной компрометации
За безобидным PDF-файлом скрывается ловушка, от которой трудно спастись.
Колумбийский страховой сектор стал целью хакерской группы BlindEagle, которая с июня 2024 года активно распространяет модифицированную версию известного вредоносного программного обеспечения Quasar RAT. Исследователи из компании Zscaler сообщили в своём отчёте, что атаки начинаются с фишинговых писем, которые маскируются под официальные сообщения налоговой службы Колумбии.
BlindEagle, также известная как AguilaCiega и APT-C-36, уже не первый год атакует организации и частных лиц в Южной Америке. В основном они нацелены на правительственные и финансовые учреждения Колумбии и Эквадора, однако буквально в прошлом месяце мы рассказывали, как группировка атаковала бразильские организации.
Основным инструментом для распространения вредоносного ПО являются фишинговые письма, содержащие ссылки на вредоносные файлы. Эти письма содержат либо вложенные PDF-файлы, либо ссылки в тексте, которые ведут на скачивание ZIP-архивов, размещённых на Google Drive. Примечательно, что файлы загружаются со скомпрометированных аккаунтов, которые ранее принадлежали правительственным организациям Колумбии.
Атака основана на том, чтобы создать у жертвы ощущение срочности. Злоумышленники отправляют уведомления, якобы от лица налоговой службы, о необходимости срочной оплаты задолженности по налогам. Это вынуждает получателей открыть вредоносные ссылки, что становится началом процесса заражения.
В ZIP-архиве скрывается модифицированная версия Quasar RAT, получившая название BlotchyQuasar. Вредоносное ПО дополнительно защищено инструментами обфускации, что затрудняет его анализ и выявление. Подобные методы были детально описаны в исследовании IBM, проведённом в июле 2023 года.
BlotchyQuasar способен перехватывать нажатия клавиш, выполнять команды через оболочку, похищать данные из браузеров и FTP-клиентов, а также отслеживать действия жертвы в банковских и платёжных сервисах в Колумбии и Эквадоре. Кроме того, вредоносное ПО использует сервис Pastebin для получения данных о командном сервере, а также Dynamic DNS-сервисы для размещения доменов управления.
Для сокрытия своей инфраструктуры BlindEagle использует VPN-сервисы и скомпрометированные маршрутизаторы, преимущественно находящиеся в Колумбии. Эксперты отмечают, что эта группа продолжает применять схожие стратегии для маскировки своих атак.
BlindEagle продолжает доказывать, что даже известные инструменты, такие как Quasar RAT, могут стать опасным оружием в руках опытных злоумышленников, если их модифицировать и использовать в целевых атаках. Сложные методы сокрытия инфраструктуры и умелая маскировка под официальные ведомства подчёркивает важность усиленной киберзащиты, особенно для финансовых и государственных организаций, которые остаются приоритетными целями подобных группировок.