Blind Eagle-hackers misbruiken spear-phishing om RAT’s in Latijns-Amerika te implementeren

Cybersecurity-onderzoekers hebben licht geworpen op een dreigingsactor die bekend staat als Blinde Adelaar die voortdurend entiteiten en individuen in Colombia, Ecuador, Chili, Panama en andere Latijns-Amerikaanse landen als doelwit heeft.

Doelwitten voor deze aanvallen zijn afkomstig uit verschillende sectoren, waaronder overheidsinstellingen, financiële instellingen, energiebedrijven en olie- en gasbedrijven.

“Blind Eagle heeft laten zien dat het zich kan aanpassen aan de doelstellingen van zijn cyberaanvallen en dat het de flexibiliteit heeft om te schakelen tussen puur financieel gemotiveerde aanvallen en spionageoperaties”, aldus Kaspersky in een rapport van maandag.

Blind Eagle, ook wel bekend als APT-C-36, is vermoedelijk al sinds ten minste 2018 actief. De vermoedelijke Spaanstalige groep staat bekend om het gebruik van spear-phishing-lokmiddelen om verschillende openbaar beschikbare trojans voor externe toegang te verspreiden, zoals AsyncRAT, BitRAT, Lime RAT, NjRAT, Quasar RAT en Remcos RAT.

Eerder deze maart beschreef eSentire hoe de aanvaller een malware-loader genaamd Ande Loader gebruikte om Remcos RAT en NjRAT te verspreiden.

Het uitgangspunt is een phishingmail die zich voordoet als een legitieme overheidsinstelling of financiële of bancaire instelling. De e-mail waarschuwt ontvangers op misleidende wijze om zo snel mogelijk actie te ondernemen. De ontvanger klikt op een link die naar verluidt naar de officiële website van de nagebootste instelling leidt.

De e-mailberichten bevatten ook een PDF- of Microsoft Word-bijlage met dezelfde URL en in sommige gevallen een paar extra details om de urgentie te vergroten en de boodschap een schijn van legitimiteit te geven.

De eerste set URL’s leidt de gebruikers naar door actoren gecontroleerde sites die een initiële dropper hosten, maar alleen nadat is vastgesteld of het slachtoffer tot een land behoort dat tot de doelen van de groep behoort. Anders worden ze naar de site van de organisatie geleid die de aanvallers imiteren.

“Deze geografische omleiding voorkomt dat nieuwe kwaadaardige sites worden gemarkeerd en verhindert de jacht op en analyse van deze aanvallen”, aldus de Russische leverancier van cyberbeveiliging.

Blinde Adelaar Hackers

De eerste dropper komt in de vorm van een gecomprimeerd ZIP-archief, dat op zijn beurt een Visual Basic Script (VBS) bevat dat verantwoordelijk is voor het ophalen van de next-stage payload van een hard-coded remote server. Deze servers kunnen variëren van image hosting sites tot Pastebin tot legitieme services zoals Discord en GitHub.

De malware in de tweede fase, vaak verhuld met steganografische methoden, is een DLL of een .NET-injector die vervolgens contact opneemt met een andere kwaadaardige server om de trojan in de laatste fase op te halen.

“De groep maakt vaak gebruik van procesinjectietechnieken om de RAT uit te voeren in het geheugen van een legitiem proces, en zo procesgebaseerde verdedigingen te omzeilen”, aldus Kaspersky.

“De voorkeurstechniek van de groep is process hollowing. Deze techniek bestaat uit het creëren van een legitiem proces in een gesuspendeerde staat, het vervolgens unmappen van het geheugen, het vervangen door een kwaadaardige payload en het proces uiteindelijk hervatten om de uitvoering te starten.”

Door aangepaste versies van open-source RAT’s te gebruiken, kan Blind Eagle hun campagnes naar wens aanpassen. Zo kunnen ze worden gebruikt voor cyberspionage of voor het verkrijgen van inloggegevens voor Colombiaanse financiële diensten via de browser van het slachtoffer. Dit gebeurt door de venstertitels te vergelijken met een vooraf gedefinieerde lijst met tekenreeksen in de malware.

Aan de andere kant zijn er aangepaste versies van NjRAT waargenomen die zijn uitgerust met keylogging en screenshot-capturing-mogelijkheden om gevoelige informatie te verzamelen. Bovendien ondersteunt de bijgewerkte versie het installeren van extra plug-ins die vanaf een server worden verzonden om de functionaliteit ervan te vergroten.

De veranderingen strekken zich ook uit tot de aanvalsketens. Zo recent als juni 2024 werd AsyncRAT verspreid via een malware-loader genaamd Hijack Loader, wat duidt op een hoge mate van aanpassingsvermogen van de kant van de dreigingsactoren. Het dient ook om de toevoeging van nieuwe technieken te benadrukken om hun activiteiten te ondersteunen.

“Hoe eenvoudig BlindEagle’s technieken en procedures ook lijken, hun effectiviteit stelt de groep in staat een hoog activiteitsniveau te handhaven,” concludeerde Kaspersky. “Door consequent cyberespionage en diefstal van financiële inloggegevens uit te voeren, blijft Blind Eagle een aanzienlijke bedreiging in de regio.

Thijs Van der Does