カスペルスキーがブラインドEagle APT グループから新しい攻撃方法を発明

ジャカルタ - カスペルスキーのグローバル調査分析チーム(GReAT)は、APT(進行中の持続的脅威)グループBlindEagleがコロンビアの個人や組織を対象としたスパイキャンペーンの1つにいくつかの更新を導入したことを発見しました。

2018年以来知られているBlindEagleグループは、さまざまなオープンソースのリモートアクセストロイの木馬(RAT)の中でスパイ方法を置き換え、脅威アクターは2024年5月の最新のキャンペーンの1つで中核ツールとしてRATを選択しました。

このマルウェアを使用すると、ボタンの記録、ウェブカメラへのアクセス、機械の詳細の盗難、スクリーンショット、アプリの監視、その他のスパイ活動が可能になります。

「このアップデートの本当の影響はまだ見られません。これらの脅威アクターは、さまざまな機密情報を標的にすることができます」と、カスペルスキーのグローバル調査分析チーム(GReAT)のセキュリティ研究者であるLeandro Cuozzoは説明します。

新しいマルウェアやプラグインを配信するために、攻撃者はまずスピアフィッシングを使用してシステムに感染したり、被害者に偽の電子メールを送信したりします。

電子メールにはPDFのように見えるが、実際にはスパイマルウェア(スパイ)を被害者のコンピュータに一連のアクションで広める悪意のある視覚基本スクリプト(VBS)である添付ファイルが含まれています。

このグループは、ブラジルの画像ホスティングサイトを使用して、被害者のコンピュータに悪意のあるコードを入力しました。以前は、DiscordやGoogleドライブなどのサービスを使用していました。

このアップデートにより、カスペルスキーは、グループが悪意のあるコードでポルトガル語の遺物をますます残している場所も発見しました。

悪意のあるスクリプトは、新しく使用された画像ホスティングサイトから画像をダウンロードするコマンドを実行し、悪意のあるコードが抽出され、被害者のコンピュータ上で実行されます。

カスペルスキーはまた、BlindEagleが2024年6月に、脅威アクターにとって珍しいWindowsダイナミックリンクリブラリ(DLL)を介して悪意のあるコードを実行するために使用されるDLLサイドロード技術を使用して別のキャンペーンを開始するのを見ました。

初期のベクトルとして、グループは実際には悪意のあるPDFまたはDOCXファイルである「ドキュメント」を送信し、被害者をだまして埋め込まれたリンクをクリックして架空のドキュメントをダウンロードさせました。

BlindEagle(別名APT-C-36)は、そのシンプルだが効果的な攻撃技術と方法で知られるAPTグループであり、コロンビア、エクアドル、およびラテンアメリカの他の国々の個人を標的にしています。