Хакерське угруповання BlindEagle (також відоме як APT-C-36) значно модернізувало свої методи кібершпигунства, спрямовані переважно на цілі в Латинській Америці. Експерти з кібербезпеки виявили нові тактики та інструменти, які група використовує для проникнення в урядові, енергетичні та фінансові установи регіону.
Нові цілі та географія атак
За даними дослідників “Лабораторії Касперського”, BlindEagle розширила свою діяльність за межі Колумбії, де група традиційно була найактивнішою. Тепер атаки також спрямовані на організації в Еквадорі, Чилі та Панамі. Проте Колумбія залишається основною мішенню – на неї припадає 87% всіх атак групи за травень-червень 2024 року.
Вдосконалені інструменти кібершпигунства
BlindEagle активно використовує відкриті трояни віддаленого доступу (RAT), такі як njRAT, Lime-RAT, BitRAT та AsyncRAT. Особливу увагу варто звернути на njRAT, який став головним інструментом у травневій кампанії групи. Цей троян здатний:
- Перехоплювати натискання клавіш
- Отримувати зображення з веб-камери
- Збирати системну інформацію
- Робити знімки екрану
Крім того, BlindEagle розробила нові плагіни для розширення функціональності njRAT. Ці модулі дозволяють визначати геолокацію жертви, збирати детальну інформацію про систему та встановлене програмне забезпечення, а також відключати антивірусний захист.
Інноваційні методи доставки малвару
Хакери постійно вдосконалюють свої методи соціальної інженерії. Зараз вони розсилають фішингові листи, замасковані під повідомлення про штрафи за порушення правил дорожнього руху. Ці листи містять шкідливі вкладення, які виглядають як PDF-файли, але насправді запускають складний процес зараження системи.
Цікаво, що BlindEagle почала використовувати португальську мову та бразильські домени для багатоетапного завантаження шкідливого програмного забезпечення. Це може свідчити про співпрацю з іншими хакерськими групами або розширення географії атак.
DLL sideloading: нова тактика BlindEagle
У червні 2024 року група запустила кампанію з використанням техніки DLL sideloading – методу, який раніше не був характерним для BlindEagle. Хакери розсилали архіви з фальшивими судовими документами, які містили виконуваний файл для ініціації зараження через DLL sideloading. Ця кампанія використовувала троян AsyncRAT для подальшого проникнення в системи жертв.
Еволюція тактик BlindEagle демонструє зростаючу складність кіберзагроз у регіоні. Організаціям у Латинській Америці необхідно посилити свої системи кібербезпеки, впровадити багаторівневий захист та регулярно проводити навчання співробітників з питань інформаційної безпеки. Лише комплексний підхід до кіберзахисту допоможе ефективно протистояти таким витонченим атакам.
