Слепой орёл-шпион отслеживает компании в Южной Америке

ThreatMon Blind Eagle PowerShell VBScript JavaScript RAT njRAT RaaS социальная инженерия фишинг
Слепой орёл-шпион отслеживает компании в Южной Америке
ThreatMon Blind Eagle PowerShell VBScript JavaScript RAT njRAT RaaS социальная инженерия фишинг

Группировка Blind Eagle использует многоэтапную цепочку атак для кражи конфиденциальных данных целевых организаций.

image

Специалисты ИБ-компании ThreatMon сообщают , что кибершпионская группировка Blind Eagle проводит новую многоэтапную цепочку атак, которая приводит к развертыванию трояна удаленного доступа (RAT) NjRAT на скомпрометированных системах.

Blind Eagle (APT-C-36) – предположительно испаноязычная группа, которая базируется на территории Южной Америки и с 2018 года наносит удары по предприятиям частного и государственного секторов в Колумбии, Эквадоре, Чили и Испании.

Кампания, обнаруженная ThreatMon, состоит из следующих шагов:

  • система компрометируется с помощью RaaS (вредоносное ПО-как-услуга), атак социальной инженерии или фишинговых атак;
  • в систему загружается JavaScript-загрузчик, который выполняет PowerShell-сценарий, размещенный в Discord CDN;
  • сценарий удаляет другой PowerShell-сценарий и пакетный файл Windows, а затем сохраняет файл VBScript в папке автозагрузки Windows для обеспечения постоянства;
  • выполняется код VBScript, который запускает пакетный файл;
  • пакетный файл подвергается деобфускации для запуска PowerShell-сценария, доставленного ранее вместе с этим файлом;
  • на заключительном этапе PowerShell-скрипт запускает njRAT.

NjRAT (он же Bladabindi), впервые обнаруженный в 2013 году, обладает множеством возможностей, которые позволяют злоумышленникам собирать конфиденциальную информацию и получать контроль над скомпрометированными компьютерами.

Установившись на системе, njRAT предоставляет киберпреступникам полный удаленный доступ к ней, где они могут осуществлять вредоносные действия, в том числе модифицировать реестр Windows, загружать/создавать/удалять файлы, выполнять команды, извлекать данные о компьютере, записывать нажатия клавиш на клавиатуре, похищать пароли, завершать процессы и делать скриншоты.

Напомним, что 27 февраля исследовательская группа BlackBerry сообщила , что Blind Eagle смогла выдать себя за государственное налоговое агентство Колумбии и Эквадора, чтобы похитить информацию из правительственных, финансовых и многих других учреждений этих стран.

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену

Новости по теме

Dev Popper: хакеры заманивают в свои сети наивных программистов, ищущих работу

Кофейная ловушка: уязвимость домена Nespresso привела к всплеску фишинговых атак

Мошенники под видом службы поддержки Telegram воруют аккаунты в мессенджере

Пакистанские RAT-атаки на оборонный сектор Индии усиливаются в преддверии выборов

Платежи от программ-вымогателей упали до рекордно низкого уровня

FROZEN#SHADOW: хладнокровные хакеры скрытно атакуют компании по всему миру

Без посылок и денег: фишинговые сайты Почты становятся лидерами по трафику

CDN как оружие: CoralRaider показала новые методы кражи аккаунтов и криптовалюты

Kaolin RAT: северокорейские хакеры прячут свой новый троян в вакансиях о работе