Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar
Hacking Group, Güncellenmiş Araçlar ve Enfeksiyon Zinciriyle Geri Dönüyor
Bay Mihir (MihirBagwe) •
6 Ocak 2023
Bilgisayar korsanlığı grubu Blind Eagle aradan döndü ve Kolombiya ve Ekvador’daki İspanyolca konuşulan hedeflere yönelik devam eden bir kampanya yürütüyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
Siber güvenlik firması Check Point, gelişmiş kalıcı tehdit aktörünün nihai hedefinin, kurbanların QuasarRAT adlı güncellenmiş bir açık kaynaklı Truva atının konuşlandırıldığı banka hesaplarına müdahale etmek ve bu hesaplara erişim sağlamak olduğunu söylüyor.
Bu kampanyada hedef alınan bankaların ve diğer kuruluşların listesi şunları içerir: Banco AV Villas, Banco Caja Social, Banco de Bogotá, Banco Popular, Bancoomeva, BBVA Net Cash, Colpatria, Davivienda ve TransUnion.
Eylül 2021’de Trend Micro, Blind Eagle’ın esasen Kolombiya devlet kurumlarına saldırmaya odaklanan işleyiş tarzını ortaya çıkardı.
Trend Micro’nun raporuna göre, APT’nin geleneksel olarak njRAT, yakın monitör, ProyectoRAT, Warzone RAT, Async RAT, Lime RAT, Remcos RAT ve BitRAT gibi halka açık uzaktan erişim araçlarından ve Truva atlarından yararlandığı bilinmektedir. Zamanla, APT bir RAT’tan diğerine geçer. Check Point araştırmacıları, bu eğilimi sürdüren Blind Eagle’ın artık QuasarRAT’ın değiştirilmiş bir sürümünü kullandığını söylüyor.
Saldırı, Quasar RAT adlı bir Truva atını dağıtan bubi tuzaklı bir bağlantı içeren kimlik avı e-postalarıyla başlar.
APT, bir kampanyada, Ekvador ve Kolombiya dışından yapılan istekleri Ekvador İç Gelir İdaresi’nin web sitesine yönlendiren bir coğrafi filtre sunucusu kullandı ve bu da APT’nin hedefleme odağını gösteriyor.
Kampanya yalnızca bir RAT düşürmekle kalmıyor, aynı zamanda daha karmaşık bir enfeksiyon zinciri kullanıyor. Meşru olanı kötüye kullanır mshta.exe sonuç olarak enfeksiyon zincirine yeni bir aşama ekleyen iki Python betiğini indirmek için bir HTML dosyasına gömülü VBScript’i çalıştırmak için ikili.
İkisinin ilki, ByAV2.pyDLL biçiminde bir Meterpreter yükü çalıştıran bir bellek içi yükleyicidir. Mp.py tamamen Python ile yazılmış başka bir Meterpreter örneğidir. Araştırmacılar, iki komut dosyasının amacının, örneklerden birinin bir virüsten koruma çözümü tarafından algılanıp kaldırılması durumunda diğerinin çalıştırılabilmesi olabileceğini söylüyor.
Araştırmacılar, “Son birkaç aydır, Blind Eagle tarafından yönetilen ve çoğunlukla yukarıda açıklanan TTP’lere bağlı kalan kampanyaları gözlemliyoruz” diyor. Bu, Kolombiya Dışişleri Bakanlığı’ndan geldiği iddia edilen ve alıcıyı bürokratik meseleleri çözmeden ülkeyi terk etmekle ilgili sorunlarla tehdit eden kimlik avı e-postalarını içerir.
Blind Eagle APT’nin kötü amaçlı komut dosyaları, tehdit aktörünün kurbanların sistemlerinde kalıcı bir arka kapı tutmasını sağlar. Ancak araştırmacılar, “araç setine ve olağan operasyonlarına bakılırsa, casusluktan çok siber suç ve parasal kazançla daha fazla ilgilendiğini” söylüyor.