Бесплатно Экспресс-аудит сайта:

Проверить
ГлавнаяО компанииПочему?Аудит безопасностиУстранение уязвимостейFAQНовостиКонтакты
21.04.2023

Слепой орёл-шпион отслеживает компании в Южной Америке

Специалисты ИБ-компании ThreatMon сообщают , что кибершпионская группировка Blind Eagle проводит новую многоэтапную цепочку атак, которая приводит к развертыванию трояна удаленного доступа ( RAT ) NjRAT на скомпрометированных системах.

Blind Eagle (APT-C-36) – предположительно испаноязычная группа, которая базируется на территории Южной Америки и с 2018 года наносит удары по предприятиям частного и государственного секторов в Колумбии, Эквадоре, Чили и Испании.

Кампания, обнаруженная ThreatMon, состоит из следующих шагов:

  • система компрометируется с помощью RaaS (вредоносное ПО-как-услуга), атак социальной инженерии или фишинговых атак;
  • в систему загружается JavaScript -загрузчик, который выполняет PowerShell -сценарий, размещенный в Discord CDN;
  • сценарий удаляет другой PowerShell-сценарий и пакетный файл Windows, а затем сохраняет файл VBScript в папке автозагрузки Windows для обеспечения постоянства;
  • выполняется код VBScript, который запускает пакетный файл;
  • пакетный файл подвергается деобфускации для запуска PowerShell-сценария, доставленного ранее вместе с этим файлом;
  • на заключительном этапе PowerShell-скрипт запускает njRAT.

NjRAT (он же Bladabindi), впервые обнаруженный в 2013 году, обладает множеством возможностей, которые позволяют злоумышленникам собирать конфиденциальную информацию и получать контроль над скомпрометированными компьютерами.

Установившись на системе, njRAT предоставляет киберпреступникам полный удаленный доступ к ней, где они могут осуществлять вредоносные действия, в том числе модифицировать реестр Windows, загружать/создавать/удалять файлы, выполнять команды, извлекать данные о компьютере, записывать нажатия клавиш на клавиатуре, похищать пароли, завершать процессы и делать скриншоты.

Напомним, что 27 февраля исследовательская группа BlackBerry сообщила , что Blind Eagle смогла выдать себя за государственное налоговое агентство Колумбии и Эквадора, чтобы похитить информацию из правительственных, финансовых и многих других учреждений этих стран.