Siber casusluk aktörü şu şekilde izlendi: kör kartal güvenliği ihlal edilmiş sistemlerde NjRAT uzaktan erişim truva atının konuşlandırılmasına yol açan yeni bir çok aşamalı saldırı zincirine bağlanmıştır.
ThreatMon Salı günü yayınlanan bir raporda, “Grup, özel kötü amaçlı yazılımlar, sosyal mühendislik taktikleri ve mızraklı kimlik avı saldırıları dahil olmak üzere çeşitli gelişmiş saldırı teknikleri kullanmasıyla tanınıyor.”
APT-C-36 olarak da anılan Blind Eagle, esas olarak Kolombiya’da özel ve kamu sektörü kuruluşlarına saldıran, İspanyolca konuşan şüpheli bir gruptur. Grup tarafından düzenlenen saldırılar ayrıca Ekvador, Şili ve İspanya’yı da hedef aldı.
Check Point ve BlackBerry tarafından bu yıl belgelenen bulaşma zincirleri, BitRAT, AsyncRAT gibi emtia kötü amaçlı yazılım ailelerini ve bir Meterpreter yükü başlatabilen bellek içi Python yükleyicileri sağlamak için hedefli kimlik avı yemlerinin kullanıldığını ortaya çıkardı.
ThreatMon’un en son keşfi, Discord CDN’de barındırılan bir PowerShell betiğini yürütmek için bir JavaScript indiricisinin kullanılmasını gerektiriyor. Komut dosyası, başka bir PowerShell komut dosyasını ve bir Windows toplu iş dosyasını bırakır ve kalıcılığı sağlamak için Windows başlangıç klasörüne bir VBScript dosyası kaydeder.
VBScript kodu daha sonra toplu iş dosyasını başlatmak için çalıştırılır ve daha sonra toplu iş dosyası daha sonra onunla birlikte teslim edilen PowerShell betiğini çalıştırmak için görünür hale getirilir. Son aşamada, njRAT’ı çalıştırmak için PowerShell betiği kullanılır.
Siber güvenlik firması, “Bladabindi olarak da bilinen njRAT, programın sahibinin son kullanıcının bilgisayarını kontrol etmesine izin veren kullanıcı arabirimi veya trojan içeren bir uzaktan erişim aracıdır (RAT)” dedi.