Die seit 2018 bekannte Hackergruppe BlindEagle (auch als APT-C-36 bezeichnet) hat ihre Cyberspionage-Aktivitäten in Lateinamerika signifikant ausgeweitet und modernisiert. Sicherheitsexperten der Kaspersky Labs berichten von einer Intensivierung der Angriffe, die sich hauptsächlich gegen Ziele in Kolumbien richten, aber auch Ecuador, Chile, Panama und andere lateinamerikanische Länder betreffen.
Neue Taktiken und erweiterte Zielgruppen
BlindEagle hat seine Angriffsmethoden verfeinert und setzt nun verstärkt auf Social Engineering und Phishing-Techniken. Die Gruppe zielt primär auf Regierungsbehörden, Energie- und Öl-/Gasunternehmen sowie Finanzinstitutionen ab. Bemerkenswert ist, dass im Mai und Juni 2024 87% der Opfer in Kolumbien lokalisiert waren, was auf einen gezielten Fokus in dieser Region hindeutet.
Einsatz fortschrittlicher Malware und Plugins
Die Hacker nutzen eine Reihe von Open-Source-Fernzugriffstrojanern (RATs), darunter bekannte Schadsoftware wie njRAT, Lime-RAT, BitRAT und AsyncRAT. In ihrer jüngsten Kampagne im Mai 2024 setzte BlindEagle verstärkt auf njRAT, einen leistungsfähigen Trojaner, der Keylogging, Webcam-Zugriff, Systeminfos-Sammlung und Screen-Capturing ermöglicht.
Eine bedeutende Neuerung ist der Einsatz von Plugins zur Funktionserweiterung der Malware. Diese zusätzlichen Module, oft als .NET-Assemblies oder andere Binärdateien getarnt, ermöglichen es den Angreifern, ihre Spionageaktivitäten zu intensivieren und beispielsweise Standortdaten zu erfassen, detaillierte Systeminformationen zu sammeln oder Sicherheitssoftware zu deaktivieren.
Raffinierte Verbreitungsmethoden
BlindEagle initiiert seine Angriffe typischerweise durch gezielte Phishing-E-Mails. Diese geben vor, von staatlichen Stellen zu stammen und informieren die Opfer über angebliche Verkehrsstrafen. Die E-Mails enthalten schädliche Anhänge, die als PDF-Dateien getarnt sind, tatsächlich aber VBS-Skripte beinhalten, die in mehreren Stufen Malware auf dem System des Opfers installieren.
Interessanterweise nutzt die Gruppe zunehmend die portugiesische Sprache und brasilianische Domains für ihre mehrstufigen Malware-Downloads. Dies könnte auf eine mögliche Zusammenarbeit mit anderen Hackern hindeuten. So wurde beispielsweise eine brasilianische Bild-Hosting-Plattform zur Verbreitung von Schadcode genutzt, während früher Dienste wie Discord oder Google Drive zum Einsatz kamen.
Neue Angriffsvektoren: DLL Sideloading
Im Juni 2024 startete BlindEagle eine separate Kampagne, die eine für die Gruppe ungewöhnliche Angriffsmethode nutzte: DLL Sideloading. Bei diesem Ansatz wurden gefälschte Gerichtsdokumente als PDF- und DOCX-Dateien in ZIP-Archiven verbreitet. Diese Archive enthielten zusätzlich ausführbare Dateien, die das DLL Sideloading initiierten, sowie weitere schädliche Komponenten zur Fortsetzung des Angriffs. In dieser Kampagne kam der Fernzugriffstrojaner AsyncRAT zum Einsatz.
Die Evolution der Taktiken und Werkzeuge von BlindEagle unterstreicht die wachsende Bedrohung durch Cyberspionage in Lateinamerika. Unternehmen und Regierungsorganisationen in der Region sollten ihre Cybersicherheitsmaßnahmen dringend überprüfen und verstärken. Besonderes Augenmerk sollte auf Mitarbeiterschulungen zur Erkennung von Phishing-Angriffen, der Implementierung fortschrittlicher Endpoint-Detection-and-Response-Lösungen sowie der regelmäßigen Aktualisierung und Härtung von Systemen liegen. Nur durch eine proaktive und ganzheitliche Herangehensweise können Organisationen sich effektiv gegen diese hochentwickelten Bedrohungen schützen.