Güney Amerikalı bir tehdit grubu olan BlindEagle, Kolombiya hükümet kurumlarına karşı, saldırı tekniklerinde endişe verici bir evrimi gösteren karmaşık bir kampanya başlattı.
Eylül 2025’in başlarında grup, koordineli kimlik avı e-postaları ve çok aşamalı kötü amaçlı yazılım dağıtımı kullanarak Ticaret, Sanayi ve Turizm Bakanlığı’na (MCIT) bağlı bir devlet kurumunu hedef aldı.
Bu saldırı, BlindEagle’ın operasyonlarının karmaşıklığında ve çok yönlülüğünde önemli bir artışı temsil ediyor ve temel kötü amaçlı yazılım dağıtımının ötesinde, çeşitli kötü amaçlı bileşenleri içeren, dikkatlice düzenlenmiş bir zincire doğru ilerliyor.
Saldırı, Kolombiya yargı sistemini taklit eden, stratejik olarak hazırlanmış bir kimlik avı e-postasıyla başlıyor.
E-posta, aciliyet hissi yaratmak için yasal terminoloji ve resmi hükümet formatını kullanıyor ve alıcılara, iş davası bildirimi gibi görünen bir şeyin alındığını onaylamaları için baskı yapıyor.
Dikkat çekici bir şekilde, kimlik avı e-postası aynı kuruluş içindeki ele geçirilmiş bir hesaptan gönderilmiş, bu da mesaja güvenilirlik kazandırmış ve geleneksel e-posta güvenlik önlemlerini atlamıştır.
Bu dahili uzlaşma, saldırganların güven ilişkilerinden yararlanmasına ve genellikle dış tehditleri işaretleyen güvenlik protokolleri tarafından tespit edilmesini engellemesine olanak tanıdı.
Zscaler analistleri saldırı zincirinin tamamını belirledi ve BlindEagle’ın tespit sistemlerinden kaçmak için alışılmadık derecede karmaşık, dosyasız bir metodoloji kullandığını belirledi.
.webp)
İlk ek, kullanıcıları Kolombiya’nın meşru yargı organını taklit eden sahte bir web portalına yönlendiren, kodlanmış HTML içeren bir SVG (Ölçeklenebilir Vektör Grafikleri) görüntüsüdür.
Bir kullanıcı bu portalla etkileşim kurduğunda, saldırı zinciri üç JavaScript dosyası ve bir PowerShell komutu aracılığıyla ortaya çıkar; her aşamada Base64 ve özel gizleme algoritmaları da dahil olmak üzere çeşitli kodlama teknikleri aracılığıyla bir sonraki bileşenin gizlemesi aşamalı olarak kaldırılır.
Enfeksiyon mekanizması
Bulaşma mekanizması, yük dağıtımı için steganografi ve yasal hizmetlerin kullanımı yoluyla özel bir karmaşıklık sergiliyor.
Saldırı zincirindeki JavaScript dosyaları, tamsayı dizilerinin çalıştırılabilir koda dönüştürüldüğü karmaşık kod çözme rutinlerini kullanır.
PowerShell komutu, İnternet Arşivinden bir görüntü dosyası indirir, içinde gizlenmiş Base64 kodlu kötü amaçlı yükü çıkarır ve yükü .NET yansımasını kullanarak doğrudan belleğe yükler.
.webp)
Bu bellek içi yürütme, herhangi bir kötü amaçlı dosyanın diske temas etmesini önleyerek geleneksel dosya tabanlı güvenlik çözümlerinin tespit çalışmalarını önemli ölçüde karmaşık hale getirir.
PowerShell betiği, kodunda Portekizce dil yapıları bulunan bir indirici kötü amaçlı yazılım olan Caminho’yu çalıştırıyor ve daha sonra Discord’un içerik dağıtım ağı aracılığıyla DCRAT’ı alıyor.
DCRAT, özellikle tespit mekanizmalarını devre dışı bırakmak için Microsoft’un Kötü Amaçlı Yazılım Önleme Tarama Arayüzünü (AMSI) yamalamak gibi gelişmiş kaçırma yetenekleri içerir.
.webp)
Kötü amaçlı yazılım, zamanlanmış görevler ve kayıt defteri değişiklikleri yoluyla kalıcılık sağlayarak saldırganların güvenliği ihlal edilmiş sistemlere sürekli erişimini sağlar.
Bu kampanya, minimum tespit riskiyle devlet altyapısına yönelik hedefli saldırılar gerçekleştirmek için sosyal mühendislik uzmanlığını gizleme, steganografi ve meşru hizmet kötüye kullanımı konularındaki teknik yeterlilikle birleştirerek BlindEagle’ın bir tehdit aktörü olarak olgunlaşmasını sergiliyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
