Группировка BlindEagle (также известная как APT-C-36) продолжает совершенствовать свои методы кибершпионажа, нацеливаясь преимущественно на организации и частных лиц в Латинской Америке. Эксперты по кибербезопасности отмечают значительные изменения в тактике группы, включая использование новых инструментов и легитимных онлайн-сервисов для распространения вредоносного ПО.
Географический фокус и цели атак
Согласно данным «Лаборатории Касперского», основными мишенями BlindEagle стали компании и частные лица в Колумбии, Эквадоре, Чили, Панаме и других странах региона. Особое внимание уделяется правительственным учреждениям, энергетическому сектору, нефтегазовой отрасли и финансовым организациям. Статистика показывает, что в мае-июне 2024 года 87% жертв группы находились в Колумбии, что указывает на четкую географическую направленность атак.
Обновленный арсенал вредоносного ПО
BlindEagle активно использует различные трояны удаленного доступа (RAT) с открытым исходным кодом, включая njRAT, Lime-RAT, BitRAT и AsyncRAT. Эти инструменты позволяют злоумышленникам осуществлять широкий спектр шпионских действий, от кейлоггинга до захвата изображений с веб-камер жертв.
Особенности njRAT
В майской кампании 2024 года основным оружием BlindEagle стал троян njRAT. Этот вредонос обладает расширенными возможностями:
- Перехват нажатий клавиш
- Доступ к веб-камерам
- Сбор системной информации
- Создание скриншотов
- Поддержка плагинов для дополнительной функциональности
Использование плагинов позволяет BlindEagle адаптировать атаки под конкретные цели, например, для определения геолокации жертвы или отключения антивирусного ПО.
Эволюция методов доставки вредоносного ПО
Группировка постоянно совершенствует свои методы социальной инженерии и доставки малвари. Основной вектор атаки — фишинговые email-рассылки, маскирующиеся под официальные уведомления о штрафах за нарушение ПДД. Злоумышленники используют многоступенчатые схемы заражения, начиная с вредоносных VBS-скриптов, замаскированных под PDF-файлы.
Использование легитимных сервисов
Примечательно, что BlindEagle все чаще обращается к легитимным онлайн-сервисам для распространения вредоносного кода. В недавних кампаниях были задействованы:
- Бразильские файлообменники
- Сервисы хостинга изображений
- Платформа Discord
- Google Drive
Такой подход затрудняет обнаружение вредоносной активности традиционными средствами защиты.
Новая тактика: DLL sideloading
В июне 2024 года BlindEagle запустила кампанию с использованием метода DLL sideloading — техники, ранее не характерной для этой группы. Атака начиналась с рассылки ZIP-архивов, содержащих фиктивные судебные документы и вредоносные исполняемые файлы. Этот метод позволяет обходить некоторые механизмы защиты, используя доверенные системные процессы для загрузки вредоносного кода.
Постоянная эволюция тактик BlindEagle подчеркивает необходимость комплексного подхода к кибербезопасности. Организациям в Латинской Америке рекомендуется усилить меры по защите от целевого фишинга, регулярно обновлять системы безопасности и проводить обучение сотрудников по вопросам кибергигиены. Только сочетание технических средств защиты и повышения осведомленности пользователей может обеспечить эффективное противодействие современным киберугрозам.