Kaspersky découvre une nouvelle méthode d'attaque du groupe APT BlindEagle

Illustration du groupe APT BlindEagle (photo: Kaspersky)

JAKARTA - L’équipe mondiale de recherche et d’analyse de Kasperskyq (GReAT) a découvert que le groupe APT (Advanced Persistant Threat) de BlindEagle a introduit plusieurs mises à jour lors de l’une de ses campagnes d’espionnage ciblant des individus et des organisations en provenance de Colombie.

Le groupe BlindEagle, connu depuis 2018, a remplacé ses méthodes d’espionnage, parmi divers troiens d’accès à distance à portée ouverte (RAT), les acteurs de menaces ont choisi le nRAT comme leur outil de base lors de l’une des dernières campagnes en mai 2024.

Les logiciels malveillants permettent d’enregistrer des boutons, d’accéder à la webcam, de voler des détails par machine, de captures d’écran, de surveillance des applications et d’autres activités d’espionnage.

« L’impact réel de cette mise à jour n’est pas encore visible. Ces acteurs de menaces peuvent cibler diverses informations sensibles », a déclaré Leandro Cuozzo, chercheur en sécurité chez l’équipe mondiale de recherche et d’analyse de Kaspersky (GReAT).

Pour envoyer de nouveaux logiciels malveillants et logiciels de logiciels, les attaquants infectaient d’abord le système à l’aide d’écran de phishing ou envoyaient de faux courriels à la victime.

L’e-mail contient des annexes qui ressemblent à un PDF, mais s’agit en fait de Visual Basic Script (VBS) malveillant qui diffuse des logiciels malveillants espions sur les ordinateurs de la victime dans une série d’actions.

Le groupe utilise un site web d’hébergement d’image brésilien pour insérer des codes malveillants sur l’ordinateur de la victime. Auparavant, ils utilisaient des services tels que Discord ou Google Play.

Grâce à cette mise à jour, Kaspersky a également découvert où le groupe a laissé de plus en plus d’objets en portugais dans leurs codes dangereux, où auparavant, ils utilisaient davantage l’espagnol.

Le scénario malveillant exécute le commandement de télécharger des images du site d’hébergement d’image nouvellement utilisé, il contient un code malveillant qui est extrait et exécuté sur l’ordinateur de la victime.

Kaspersky a également assisté à BlindEagle à lancer une campagne distincte en juin 2024, en utilisant une technique DLL d’exécution, une méthode utilisée pour exécuter des codes malveillants via les Libraires dynamiques de liens (DLL) de Windows, qui est inhabituelle pour les auteurs de menaces.

En tant que vecteur initial, le groupe a envoyé un « documents » en réalité un fichier PDF ou MODX malveillant, et a trompé la victime de cliquer sur un lien intégré pour télécharger le document fictif.

BlindEagle (apt-C-36) est un groupe APT connu pour ses techniques et méthodes d’attaque simples mais efficaces, qui cible également des individus en Colombie, en Équateur et dans d’autres pays d’Amérique latine.