Siber güvenlik araştırmacıları, kalıcı bir tehdit aktörüyle bağlantılı beş farklı etkinlik kümesi keşfettiler. Kör kartal Mayıs 2024 ile Temmuz 2025 arasında.
Gelecekteki Insikt Grubu tarafından kaydedilen bu saldırılar, çeşitli kurbanları hedef aldı, ancak öncelikle yerel, belediye ve federal düzeylerde Kolombiya hükümetinde. Tehdit istihbarat firması etkinliği TAG-144 adı altında izliyor.
“Kümeler açık kaynaklı ve çatlamış uzaktan erişim truva atlarını (sıçanlar), dinamik alan sağlayıcılarından ve meşru internet hizmetlerini (LIS) kullanma gibi benzer taktikleri, teknikleri ve prosedürleri (TTP’ler) paylaşmasına rağmen, altyapı, kötü amaçlı yazılım dağıtımında ve diğer operasyonel yöntemlerde önemli ölçüde farklılık gösterir.” Dedi.
Blind Eagle, en az 2018’den beri Güney Amerika’da hedefleme örgütleri geçmişine sahiptir ve saldırılar hem siber casusluğu hem de finansal olarak yönlendirilen motivasyonları yansıtır. Bu, bankacılıkla ilgili keylogging ve tarayıcı izlemesini içeren son kampanyalarında ve çeşitli uzaktan erişim truva atlarını (sıçanlar) kullanarak hükümet kuruluşlarını hedeflemede kanıtlanmıştır.
Grubun saldırılarının hedefleri arasında finans, petrol, enerji, eğitim, sağlık, üretim ve profesyonel hizmet sektörlerindeki kuruluşlarla birlikte yargı ve vergi makamları bulunmaktadır. Operasyonlar ağırlıklı olarak Kolombiya, Ekvador, Şili ve Panama’yı ve bazı durumlarda Kuzey Amerika’da İspanyolca konuşan kullanıcıları kapsıyor.
Saldırı zincirleri tipik olarak, alıcıları kötü niyetli belgeler açmaya ikna etmek için yerel yönetim ajanslarını taklit eden mızrak-akma yemlerinin kullanımını içerir veya CORT gibi URL kısıtlayıcılarını kullanılarak gizlenmiş bağlantılara tıklamak[.]Olarak, curtaurl[.]com ve gtly[.]ile.
Blind Eagle, Kolombiya veya Ekvador dışındaki saldırgan tarafından kontrol edilen altyapıya giderken kullanıcıları resmi hükümet web sitelerine yönlendirmek için mesaj göndermek ve coğrafi işleme hilelerinden yararlanmak için tehlikeye atılmış e-posta hesaplarından yararlanır.
“Tag-144’ün komut ve kontrol (C2) altyapısı genellikle Kolombiyalı ISS’lerden IP adreslerini Proton666 gibi sanal özel sunucuların (VPS) ve Powerhouse Management, FrootVPN ve Torguard gibi VPN hizmetlerini içerir.” Bu kurulum, DuckDNS dahil olmak üzere dinamik DNS hizmetlerinin kullanımı ile daha da geliştirilir.[.]Org, ip-ddns[.]com ve Noip[.]com. “
Tehdit grubu ayrıca, kötü amaçlı içerik ve evred tespiti belirlemek için yükleri sahnelemek için Bitbucket, Discord, Dropbox, GitHub, GitHub, Google Drive, Lovestoblog.com, LoveStoblog.com, LoveStoblog.com ve daha az bilinen Brezilya görüntü barındırma web siteleri gibi meşru internet hizmetlerinden de yararlandı.
Tehdit oyuncusu tarafından düzenlenen son kampanyalar, çalışma zamanında dinamik olarak oluşturulan bir PowerShell komut dosyasını yürütmek için bir damlaçı olarak görsel bir temel komut dosyası dosyası kullanmıştır ve bu da kireç sıçan, dcrat, asyncrat veya remcos sıçan yüklemekten sorumlu bir enjektör modülünü indirmek için harici bir sunucuya ulaşır.
Bölgesel odaklanma bir yana, hackleme grubu, ortaya çıkmasından bu yana sürekli olarak aynı tekniklere güvenerek, “köklü yöntemlerin” bölgede nasıl yüksek başarı oranları vermeye devam ettiğini vurguladı.
Kaydedilen Future’ın Blind Eagle kampanyaları analizi beş faaliyet kümesini ortaya çıkardı –
- Küme 1 (Şubat – Temmuz 2025 arasında), Kolombiyalı hükümet kuruluşlarını sadece DCRAT, Asyncrat ve Remcos Rat ile hedefleyen
- Küme 2 (Eylül – Aralık 2024 arasında), Kolombiya hükümetini ve Asyncrat ve Xworm ile Eğitim, Savunma ve Perakende Sektörlerindeki varlıkları hedefleyen
- Küme 3 (Eylül 2024’ten Temmuz 2025’e kadar), Asyncrat ve Remcos Rat’ın konuşlandırılmasıyla karakterize edilen
- Küme 4 (Mayıs 2024’ten Şubat 2025’e kadar), TAG-144’e atfedilen kötü amaçlı yazılım ve kimlik avı altyapısı ile ilişkili olan, kimlik avı sayfaları Banco Davivienda, Bancolombia ve BBVA’yı taklit ederek
- Küme 5 (Mart – Temmuz 2025 arasında), kireç sıçan ve kümeler 1 ve 2’de gözlenen çatlamış bir asyncrat varyantı ile ilişkili
Bu kampanyalarda kullanılan dijital misyonlar, bir SVG eki ile birlikte gelir, bu da daha sonra CDN’ye macun.ee’den bir PowerShell komut dosyası getiren bir JavaScript yükü almak için Discord’a ulaşır. PowerShell komut dosyası, İnternet arşivinde barındırılan bir JPG görüntüsü elde eden ve gömülü bir .NET montajı çıkaran başka bir PowerShell yükünü kodlamak ve yürütmek için tasarlanmıştır.
İlginç bir şekilde, saldırılarda kullanılan Asyncrat’ın çatlak versiyonu, her ikisi de geçen yıl Kolombiya’yı hedefleyen tehdit aktörleri Red Akodon ve Shadow Vector tarafından monte edilen saldırı faaliyeti ile bağlantılı olarak gözlemlenmiştir.
Analiz döneminde gözlemlenen kör kartal faaliyetinin yaklaşık% 60’ı hükümet sektörünü hedeflemiştir ve bunu eğitim, sağlık, perakende, ulaşım, savunma ve petrol sektörlerini hedeflemiştir.
“TAG-144 diğer sektörleri hedeflemiş ve zaman zaman Ekvador gibi ek Güney Amerika ülkelerindeki müdahalelerle bağlantılı olmasına rağmen, ABD’de İspanyolca konuşan kurbanlar, birincil odak noktası sürekli olarak Kolombiya’da, özellikle hükümet kuruluşları üzerinde kalmıştır.” Dedi.
Diyerek şöyle devam etti: “Bu kalıcı hedefleme, tehdit grubunun gerçek motivasyonları hakkında, yalnızca finansal olarak yönlendirilmiş bir tehdit aktör olarak çalışıp işlemediği gibi, yerleşik araçlardan, tekniklerden ve para kazanma stratejilerinden veya devlet destekli casusluk unsurlarının da devreye girip girmediği gibi soruları gündeme getiriyor.”