卡巴斯基从BlindEagle APT集团发现新攻击方法

雅加达 - 卡巴斯基全球研究和分析小组(GReAT)发现,Advanced Persistent Threat(Advanced Persistent Threat)组织BlindEagle在其针对哥伦比亚个人和组织的间谍活动之一中推出了几项更新。

自2018年以来一直以名的BlindEagle集团已经取代了其间谍方法,在各种开源远程接入(RAT)特洛伊人中,威胁肇事者在2024年5月的最新活动之一中选择了ngRAT作为其核心工具。

这些恶意软件允许按钮记录,网络摄像机访问,机器细节被盗,屏幕截图,应用程序监控和其他间谍活动。

“此更新的真正影响尚不清楚。这些威胁行为者可以针对各种敏感信息,“卡巴斯基全球研究和分析小组(GReAT)安全研究员Leandro Cuozzo解释说。

要运送新的恶意软件和插件,攻击者首先使用横幅网络钓鱼或向受害者发送虚假电子邮件来感染该系统。

该电子邮件包含类似于PDF的附件,但实际上是一种恶意视觉基脚本(VBS),在一系列操作中将间谍恶意软件(间谍) 传播到受害者的计算机。

该组织使用巴西图像托管网站向受害者的计算机输入恶意代码。以前,他们使用了Discord或Google Drive等服务。

通过此次更新,卡巴斯基还发现,这些团体越来越多地将葡萄牙文物留在其危险代码中,以前他们更多地使用西班牙语。

恶意脚本执行命令从新使用的图像托管网站下载图像,其中包含在受害者计算机上提取和运行的恶意代码。

卡巴斯基还目睹了BlindEagle在2024年6月使用DLL侧重载技术启动单独的活动,DLL侧重载技术是通过Windows的动态链接图书馆(DLL)执行恶意代码的方法,对于威胁行为者来说并不寻常。

作为早期受众,该组实际上是恶意的PDF或DOCX文件的“文档” 被发送,并诱骗受害者单击嵌入式链接以下载虚构文档。

BlindEagle(又名APT-C-36)是一个APT群体,以其简单但有效的攻击技术和方法而闻名,这些技术和方法针对哥伦比亚,厄瓜多尔和拉丁美洲其他国家的个人。