يستغل قراصنة النسر الأعمى التصيد الاحتيالي لنشر الفئران في أمريكا اللاتينية
ألقى باحثون في مجال الأمن السيبراني الضوء على ممثل التهديد المعروف باسم النسر الأعمى التي استهدفت باستمرار كيانات وأفرادًا في كولومبيا والإكوادور وتشيلي وبنما ودول أخرى في أمريكا اللاتينية.
وتمتد أهداف هذه الهجمات إلى عدة قطاعات، بما في ذلك المؤسسات الحكومية والشركات المالية وشركات الطاقة والنفط والغاز.
“لقد أثبتت شركة Blind Eagle قدرتها على التكيف في تشكيل أهداف هجماتها السيبرانية وتعدد استخداماتها للتبديل بين الهجمات ذات الدوافع المالية البحتة وعمليات التجسس،” كاسبرسكي قال في تقرير يوم الاثنين.
ويُشار إليها أيضًا باسم APT-C-36، ويُعتقد أن Blind Eagle نشطة منذ عام 2018 على الأقل. ومن المعروف أن المجموعة الناطقة بالإسبانية المشتبه بها معروفة باستخدام إغراءات التصيد الاحتيالي لتوزيع العديد من أحصنة طروادة المتاحة للجمهور مثل AsyncRAT وBitRAT و لايم رات، نجرات، كوازار رات، و ريمكوس رات.
في وقت سابق من شهر مارس، قامت eSentire بتفصيل استخدام الخصم لمحمل البرامج الضارة المسمى Ande Loader لنشر Remcos RAT وNjRAT.
نقطة البداية هي رسالة بريد إلكتروني تصيدية تنتحل شخصية المؤسسات الحكومية الشرعية والكيانات المالية والمصرفية التي تحذر المستلمين بشكل خادع لاتخاذ إجراءات عاجلة من خلال النقر على الرابط الذي يزعم أنه يقودهم إلى الموقع الرسمي للكيان الذي يتم محاكاته.
تشتمل رسائل البريد الإلكتروني أيضًا على ملف PDF أو Microsoft Word مرفق يحتوي على نفس عنوان URL، وفي بعض الحالات، بعض التفاصيل الإضافية المصممة لإضفاء إشارة شديدة على الإلحاح وإضفاء مظهر شرعي عليها.
تقوم المجموعة الأولى من عناوين URL بتوجيه المستخدمين إلى المواقع التي يسيطر عليها الممثل والتي تستضيف قطارة أولية، ولكن فقط بعد تحديد ما إذا كانت الضحية تنتمي إلى بلد من بين أهداف المجموعة. وإلا، يتم توجيههم إلى موقع المنظمة التي ينتحلها المهاجمون.
وقال بائع الأمن السيبراني الروسي: “إن إعادة التوجيه الجغرافي هذه تمنع تحديد المواقع الضارة الجديدة، وتحبط مطاردة هذه الهجمات وتحليلها”.
تأتي القطارة الأولية في شكل أرشيف ZIP مضغوط، والذي بدوره يتضمن برنامج Visual Basic Script (VBS) المسؤول عن استرداد حمولة المرحلة التالية من خادم بعيد مشفر. يمكن أن تتراوح هذه الخوادم من مواقع استضافة الصور إلى Pastebin إلى الخدمات الشرعية مثل Discord وGitHub.
المرحلة الثانية من البرامج الضارة، والتي غالبًا ما يتم حجبها باستخدام أساليب إخفاء المعلومات، هي عبارة عن ملف DLL أو حاقن .NET يتصل لاحقًا بخادم ضار آخر لاسترداد حصان طروادة في المرحلة النهائية.
وقال كاسبرسكي: “غالبًا ما تستخدم المجموعة تقنيات حقن العمليات لتنفيذ RAT في ذاكرة عملية مشروعة، وبالتالي التهرب من الدفاعات القائمة على العمليات”.
“الأسلوب المفضل للمجموعة هو عملية التجويف. تتمثل هذه التقنية في إنشاء عملية مشروعة في حالة تعليق، ثم إلغاء تعيين ذاكرتها، واستبدالها بحمولة ضارة، وأخيرًا استئناف العملية لبدء التنفيذ.”
إن استخدام الإصدارات المعدلة من RATs مفتوحة المصدر يمنح Blind Eagle المرونة لتعديل حملاتها حسب الرغبة، واستخدامها للتجسس عبر الإنترنت أو التقاط بيانات الاعتماد للخدمات المالية الكولومبية من متصفح الضحية عندما تتم مطابقة عناوين النوافذ مع قائمة سلاسل محددة مسبقًا. في البرامج الضارة.
من ناحية أخرى، لوحظ أن الإصدارات المعدلة من NjRAT مزودة بإمكانات تسجيل لوحة المفاتيح والتقاط لقطات الشاشة لجمع المعلومات الحساسة. علاوة على ذلك، يدعم الإصدار المحدث تثبيت المكونات الإضافية الإضافية المرسلة من الخادم لزيادة وظائفه.
تمتد التغييرات أيضًا إلى سلاسل الهجوم. وفي يونيو 2024، تم توزيع AsyncRAT من خلال أداة تحميل البرامج الضارة التي يطلق عليها اسم Hijack Loader، مما يشير إلى مستوى عالٍ من القدرة على التكيف من جانب الجهات الفاعلة في مجال التهديد. كما أنه يعمل على تسليط الضوء على إضافة تقنيات جديدة للحفاظ على عملياتهم.
وخلص كاسبرسكي إلى أنه “على الرغم من بساطة تقنيات وإجراءات BlindEagle، إلا أن فعاليتها تسمح للمجموعة بالحفاظ على مستوى عالٍ من النشاط”. “من خلال التنفيذ المستمر لحملات التجسس الإلكتروني وسرقة بيانات الاعتماد المالية، تظل Blind Eagle تهديدًا كبيرًا في المنطقة.
إرسال التعليق