Kaspersky Temukan Metode Serangan Baru dari Kelompok APT BlindEagle

JAKARTA - Tim Riset dan Analisis Global Kasperskyq (GReAT) menemukan bahwa kelompok  APT (Advanced Persistent Threat) BlindEagle telah memperkenalkan beberapa pembaruan dalam salah satu kampanye mata-matanya yang menargetkan individu dan organisasi dari Kolombia. 

Kelompok BlindEagle, yang dikenal sejak 2018, telah mengganti metode mata-matanya, di antara berbagai trojan akses jarak jauh (RAT) sumber terbuka, pelaku ancaman telah memilih njRAT sebagai alat inti mereka dalam salah satu kampanye terbaru pada bulan Mei 2024. 

Malware ini memungkinkan pencatatan tombol, akses webcam, pencurian detail mesin, tangkapan layar, pemantauan aplikasi, dan aktivitas mata-mata lainnya. 

“Dampak nyata dari pembaruan ini belum terlihat. Aktor ancaman ini dapat menargetkan berbagai informasi sensitif,” jelas Leandro Cuozzo, Peneliti Keamanan di Kaspersky Global Research and Analysis Team (GReAT).

Untuk mengirimkan malware dan plugin baru, penyerang pertama-tama menginfeksi sistem menggunakan spear phishing atau mengirimkan email palsu kepada korban. 

Email tersebut menyertakan lampiran yang tampak seperti PDF tetapi sebenarnya adalah Visual Basic Script (VBS) berbahaya yang menyebarkan malware mata-mata (spy) ke komputer korban dalam serangkaian tindakan.

Kelompok tersebut menggunakan situs hosting gambar Brasil untuk memasukkan kode berbahaya ke komputer korban. Sebelumnya, mereka menggunakan layanan seperti Discord atau Google Drive. 

Dengan pembaruan ini, Kaspersky juga menemukan di mana kelompok tersebut semakin banyak meninggalkan artefak dalam bahasa Portugis dalam kode berbahaya mereka, di mana sebelumnya, mereka lebih banyak menggunakan bahasa Spanyol. 

Skrip berbahaya tersebut menjalankan perintah untuk mengunduh gambar dari situs hosting gambar yang baru digunakan, ini berisikan kode berbahaya yang diekstrak dan dijalankan di komputer korban.

Kaspersky juga menyaksikan BlindEagle meluncurkan kampanye terpisah pada bulan Juni 2024, menggunakan teknik sideloading DLL, sebuah metode yang digunakan untuk mengeksekusi kode berbahaya melalui Dynamic Link Libraries (DLL) Windows, yang tidak biasa bagi pelaku ancaman. 

Sebagai vektor awal, kelompok tersebut mengirim "dokumen" yang sebenarnya adalah file PDF atau DOCX berbahaya, dan menipu korban agar mengklik tautan tertanam untuk mengunduh dokumen fiktif tersebut. 

BlindEagle (alias APT-C-36) adalah kelompok APT yang dikenal karena teknik dan metode serangannya yang sederhana namun efektif, yang menargetkan dan individu di Kolombia, Ekuador, dan negara-negara lain di Amerika Latin.