Blind Eagle Hacker'ları, Latin Amerika'da RAT Dağıtmak İçin Hedefli Phishing Kullanıyor

20.08.2024

Siber güvenlik uzmanları, Blind Eagle olarak bilinen bir tehdit aktörünün, Kolombiya, Ekvador, Şili, Panama ve diğer Latin Amerika ülkelerinde varlıkları ve bireyleri hedef aldığını ortaya çıkardı.

Bu saldırıların kurbanları, hükümet kurumları, finansal kuruluşlar ve enerji ile petrol ve gaz şirketleri gibi çeşitli sektörlerden geliyor.

Kaspersky'nin Pazartesi günü yayınladığı rapora göre, “Blind Eagle, siber saldırılarının hedeflerini ayarlama konusunda uyum yeteneği göstermiş ve finansal kazanç ve casusluk operasyonları arasında geçiş yapma esnekliğine sahip.”

APT-C-36 olarak da bilinen Blind Eagle’ın en azından 2018'den beri aktif olduğu düşünülüyor. İspanyolca konuşan bu grubun, AsyncRAT, BitRAT, Lime RAT, NjRAT, Quasar RAT ve Remcos RAT gibi çeşitli kamuya açık uzak erişim trojanlarını dağıtmak için hedefli phishing tekniklerini kullandığı biliniyor.

Mart ayında eSentire, grubun Remcos RAT ve NjRAT'yi yaymak için Ande Loader adında bir zararlı yazılım yükleyici kullandığını detaylandırmıştı.

Saldırı, meşru hükümet kurumlarından veya finans ve bankacılık kuruluşlarından geliyormuş gibi görünen bir phishing e-postasıyla başlıyor. Bu e-posta, alıcıları, taklit edilen kuruluşun resmi web sitesine yönlendirdiğini iddia eden bir bağlantıya acil olarak tıklamaya teşvik ediyor.

Bu e-postalar genellikle aynı URL'yi içeren bir PDF veya Microsoft Word eki ile birlikte gelir ve bazı durumlarda aciliyet hissi yaratmak ve meşruluk izlenimi eklemek amacıyla ek ayrıntılar içerir.

İlk URL'ler, kullanıcıları saldırganlar tarafından kontrol edilen sitelere yönlendirir ve burada bir başlangıç dropper’ı barındırır. Bu dropper, hedef ülkeye ait olup olmadığını kontrol eder ve ardından zararlı yükü teslim eder veya kurbanı taklit edilen kuruluşun sitesine yönlendirir.

“Bu coğrafi yönlendirme, yeni zararlı sitelerin tespit edilmesini engeller ve bu saldırıların izlenmesini ve analiz edilmesini zorlaştırır,” dedi Rus siber güvenlik firması.

Başlangıç dropper’ı, bir Visual Basic Script (VBS) içeren sıkıştırılmış bir ZIP arşividir ve bu script, bir sonraki aşama yükünü sabit kodlanmış bir uzak sunucudan alır. Bu sunucular, resim barındırma sitelerinden ve Pastebin'den Discord ve GitHub gibi meşru hizmetlere kadar değişebilir.

İkinci aşama zararlı yazılım, genellikle steganografik tekniklerle gizlenmiş bir DLL veya .NET injector'dır ve bu, son aşama trojanını indirmek için başka bir zararlı sunucuya bağlanır.

“Grup, RAT'ı meşru bir sürecin belleğinde çalıştırmak için sıklıkla işlem enjeksiyon tekniklerini kullanır ve böylece işlem tabanlı savunmaları aşar,” dedi Kaspersky.

“Tercih edilen teknik işlem boşaltmadır. Bu teknik, meşru bir süreci askıya alınmış durumda oluşturmayı, belleğini haritalamayı, onu zararlı bir yükle değiştirmeyi ve ardından süreci devam ettirmeyi içerir.”

Blind Eagle’ın değiştirilmiş açık kaynak RAT'ları kullanması, kampanyalarını ihtiyaçlarına göre uyarlamalarına olanak tanır, ister siber casusluk için ister kurbanın tarayıcısındaki pencere başlıklarını zararlı yazılımda tanımlanmış bir dize listesi ile eşleştirerek Kolombiya finans hizmetleri için kimlik bilgilerini toplamak için.

Öte yandan, değiştirilmiş NjRAT sürümleri, hassas bilgileri toplamak için anahtar kaydetme ve ekran görüntüsü alma yetenekleri ile gözlemlenmiştir. Güncellenmiş sürümler ayrıca işlevselliği artırmak için sunucudan ek eklentiler yüklemeyi destekler.

Değişiklikler saldırı zincirlerine de uzanır. Haziran 2024 itibarıyla AsyncRAT, Hijack Loader adında bir zararlı yazılım yükleyicisi aracılığıyla dağıtılmıştır ve bu durum tehdit aktörlerinin yüksek uyum yeteneğini ve operasyonlarını sürdürmek için yeni teknikler eklediğini göstermektedir.

“Blind Eagle'ın teknikleri ve prosedürleri basit görünebilir, ancak etkili olmaları grubun yüksek bir etkinlik seviyesini sürdürebilmesini sağlıyor,” diye sonuçlandırdı Kaspersky. “Sürekli olarak siber casusluk ve finansal kimlik bilgisi çalma kampanyalarını yürüterek Blind Eagle, bölgede önemli bir tehdit olmaya devam ediyor.”