Houve relatos de que um ator de ameaça organizado, conhecido como Blind Eagle (rastreado como APT-C-36), reapareceu novamente com um conjunto de ferramentas refinado e uma das cadeias de infecção mais elaboradas na história dos ataques cibernéticos contra a Colômbia e o Equador. organizações.
Blind Eagle é um grupo de hackers de língua espanhola e recentemente pesquisadores da Check Point descobriram as últimas novidades do grupo: –
- Táticas e técnicas
- Ferramentas poderosas
- Iscas com tema governamental
A partir de 2018, o Blind Eagle tem atacado indiscriminadamente nações sul-americanas devido ao seu estreito foco geográfico. Em setembro de 2021, Trend Micro publicou um documento documentando as atividades do grupo Blind Eagle.
Bancos direcionados Com campanhas
A distribuição do malware BitRAT está sendo feita por meio de campanhas de spear-phishing visando principalmente entidades colombianas, com menor foco nos alvos dos seguintes países:-
Abaixo está uma lista de alguns dos bancos visados: –
- Villas Banco AV
- Banco Caja Social
- Banco de Bogotá
- Banco Popular
- Bancoomeva
- BBVA
- Colpatria
- Davivienda
- TransUnião
As sequências de ataque são abortadas se o destinatário do e-mail estiver localizado fora da Colômbia e o site oficial da Migración Colombia for redirecionado para a vítima.
Uma organização mascarada como Receita Federal do Equador (SRI) tem levado a cabo uma campanha visando a Colômbia e o Equador de forma semelhante. Para filtrar solicitações provenientes de países diferentes daquele em que está localizado, utiliza a mesma tecnologia de bloqueio geográfico.
Um processo de vários estágios muito mais complexo é empregado em vez de um simples lançamento de malware RAT neste ataque, que explora o binário mshta.exe legítimo em vez de descartar um RAT. Isso é feito executando VBScript incorporado em um arquivo HTML para que dois scripts Python possam ser baixados.
Os dois scripts python estão listados abaixo: –
Grupos APT como Blind Eagle são uma raça estranha de grupos APT em relação a ataques. A organização parece mais interessada no crime cibernético e no ganho monetário do que na espionagem, com base no seu conjunto de ferramentas e operações de rotina.
