Ερευνητές ασφαλείας δημοσίευσαν στοιχεία για μια hacking ομάδα, γνωστή ως Blind Eagle, η οποία στοχεύει οντότητες και άτομα στην Κολομβία, το Εκουαδόρ, τη Χιλή, τον Παναμά και άλλα έθνη της Λατινικής Αμερικής με RAT malware.
Μεταξύ των στόχων βρίσκονται κυβερνητικά ιδρύματα, χρηματοπιστωτικές εταιρείες και εταιρείες ενέργειας, πετρελαίου και φυσικού αερίου.
«Η Blind Eagle έχει επιδείξει προσαρμοστικότητα στη διαμόρφωση των στόχων των κυβερνοεπιθέσεων της και ευελιξία ώστε να εναλλάσσεται μεταξύ επιθέσεων με καθαρά οικονομικά κίνητρα και επιθέσεων κατασκοπείας», ανέφερε η Kaspersky σε έκθεσή της.
Δείτε επίσης: Mad Liberator: Νέα ομάδα στοχεύει χρήστες AnyDesk και κλέβει δεδομένα
Πιστεύεται ότι η Blind Eagle είναι ενεργή τουλάχιστον από το 2018. Η ισπανόφωνη ομάδα είναι γνωστή για τη χρήση spear-phishing τεχνικών για τη διανομή διάφορων trojan απομακρυσμένης πρόσβασης (RAT), όπως τα AsyncRAT, BitRAT, Lime RAT, NjRAT, Quasar RAT και Remcos RAT. Τον Μάρτιο, η eSentire παρουσίασε λεπτομερώς τη χρήση ενός malware loader με το όνομα Ande Loader για τη διάδοση των Remcos RAT και NjRAT.
Η επίθεση ξεκινά με ένα phishing email που υποδύεται νόμιμες κυβερνητικές οντότητες και χρηματοπιστωτικές και τραπεζικές υπηρεσίες. Το email προειδοποιεί τους παραλήπτες να αναλάβουν επείγουσα δράση, κάνοντας κλικ σε έναν σύνδεσμο που υποτίθεται ότι τους οδηγεί στον επίσημο ιστότοπο της οντότητας που μιμείται.
Τα μηνύματα περιλαμβάνουν επίσης ένα συνημμένο PDF ή Microsoft Word που περιέχει την ίδια διεύθυνση URL. Μπορεί να υπάρχουν και κάποιες πρόσθετες λεπτομέρειες που προσπαθούν να προσδώσουν μια αίσθηση νομιμότητας και να κάνουν την κατάσταση να φαίνεται πιο επείγουσα.
Το πρώτο σύνολο διευθύνσεων URL κατευθύνει τους χρήστες σε ιστότοπους που ελέγχουν οι επιτιθέμενοι. Αυτοί οι ιστότοποι φιλοξενούν ένα αρχικό dropper, αλλά μόνο αφού προσδιοριστεί ότι το θύμα ανήκει σε χώρα που βρίσκεται στη λίστα στόχων της Blind Eagle. Διαφορετικά, τα θύματα οδηγούνται στον πραγματικό ιστότοπο της οργάνωσης που υποδύονται οι επιτιθέμενοι.
Το αρχικό dropper έρχεται με τη μορφή ενός αρχείου ZIP, το οποίο, με τη σειρά του, ενσωματώνει ένα Visual Basic Script (VBS), υπεύθυνο για την ανάκτηση payload επόμενου σταδίου από έναν απομακρυσμένο διακομιστή. Αυτοί οι διακομιστές μπορούν να κυμαίνονται από ιστότοπους φιλοξενίας εικόνων έως νόμιμες υπηρεσίες όπως το Discord και το GitHub.
Δείτε επίσης: Η Hunters International στοχεύει υπαλλήλους IT με το SharpRhino RAT
Το κακόβουλο λογισμικό δεύτερου σταδίου, που συχνά συγκαλύπτεται, είναι ένα DLL ή ένας .NET injector που στη συνέχεια έρχεται σε επαφή με έναν ακόμη κακόβουλο διακομιστή για να ανακτήσει το trojan τελικού σταδίου.
«Η ομάδα χρησιμοποιεί συχνά τεχνικές process injection για να εκτελέσει το RAT στη μνήμη μιας νόμιμης διαδικασίας, αποφεύγοντας έτσι τις άμυνες», είπε η Kaspersky. Ωστόσο, σύμφωνα με τους ερευνητές, η προτιμώμενη τεχνική της ομάδας είναι το process hollowing.
Η Blind Eagle χρησιμοποιεί RAT για κατασκοπεία στον κυβερνοχώρο και κλοπή οικονομικών και άλλων ευαίσθητων πληροφοριών.
«Όσο απλές και αν φαίνονται οι τεχνικές και οι διαδικασίες της Blind Eagle, η αποτελεσματικότητά τους επιτρέπει στην ομάδα να διατηρήσει ένα υψηλό επίπεδο δραστηριότητας», κατέληξε η Kaspersky. «Με την συνεχή εκτέλεση εκστρατειών κυβερνοκατασκοπείας και κλοπής οικονομικών διαπιστευτηρίων, η Blind Eagle παραμένει μια σημαντική απειλή στην περιοχή».
Ποιες είναι οι βέλτιστες μέθοδοι προστασίας από RAT malware;
Η πρώτη και πιο σημαντική μέθοδος προστασίας είναι η ενημέρωση και η εκπαίδευση. Οι χρήστες πρέπει να γνωρίζουν τις τεχνικές που χρησιμοποιούν οι επιτιθέμενοι για να διαδώσουν το malware ώστε να μπορούν να τις αναγνωρίσουν και να τις αποφύγουν.
Η εγκατάσταση ενός αξιόπιστου λογισμικού ασφαλείας είναι άλλη μία βασική μέθοδος προστασίας από malware. Αυτό το λογισμικό πρέπει να περιλαμβάνει antivirus, anti-spyware και anti-malware λειτουργίες, καθώς και προστασία από phishing.
Δείτε επίσης: Gh0st RAT Trojan: Στοχεύει Κινέζους χρήστες Windows μέσω Fake Site Chrome
Επίσης, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και όλες τις εφαρμογές ενημερωμένες. Οι ενημερώσεις περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή σας από τις τελευταίες απειλές.
Τέλος, η προσεκτική αλληλεπίδραση με τα ηλεκτρονικά μηνύματα και τα συνημμένα αρχεία είναι ζωτικής σημασίας. Ποτέ μην ανοίγετε συνημμένα ή κάνετε κλικ σε συνδέσμους από άγνωστες πηγές γιατί μπορεί να περιέχουν malware.
Πηγή: thehackernews.com