Önde gelen bir siber güvenlik araştırma ekibi olan Trustwave SpiderLabs, Blind Eagle olarak bilinen siber tehdit grubunu (APT-C-36 olarak da adlandırılır) kurşun geçirmez barındırma hizmetleri sağlayan bir Rus şirketi olan Proton66 ile güvenle bağladı.
Blind Eagle, özellikle Kolombiya’daki finans kurumlarına odaklanan Latin Amerika’daki kuruluşları hedeflemek için kötü şöhretli aktif bir tehdit oyuncusudur. Bildirildiğine göre, bu bağlantı SpiderLabs’ın Proton66 altyapısını birkaç ay boyunca sürekli izlemesinden kaynaklanmaktadır.
Saldırı altyapısı
Hackread.com ile paylaşılan SpiderLabs’ın soruşturmasına göre, analistleri bu bağlantıyı Proton66’ya bağlı varlıkları inceleyerek yaptılar, bu da onları birbirine bağlı bir alan ve IP adres ağına götürdüler. 2024 yazında (12 Ağustos 2024’ten itibaren gözlemlenen belirli etki alanı kayıtlarıyla) özellikle aktif hale gelen bu altyapı, büyük ölçüde ücretsiz dinamik DNS (DDNS) hizmetlerine dayanmaktadır.
İlk saldırı yöntemi yalnızca Visual Basic Script (VBS) dosyalarını kullanır. Bu komut dosyaları, saldırganların güvenliği ihlal edilmiş bir bilgisayarı uzaktan kontrol etmesini sağlayan kötü amaçlı yazılımlar olan yaygın olarak mevcut uzaktan erişim Truva atları (sıçanlar) için yükleyiciler olarak hareket eder.
Daha fazla analiz, kötü niyetli VBS yüklerini gizlemek ve paketlemek için kullanılan VBS-Crypter adlı bir hizmet tarafından üretilen daha önce tanımlanmış örneklerle örtüştüğünü gösterdi.
Hedeflerinin potansiyel yüksek değerine rağmen, Blind Eagle’ın arkasındaki tehdit aktörleri, operasyonel altyapılarını gizlemek için şaşırtıcı derecede az çaba gösterdi. Araştırmacılar, aynı kötü amaçlı dosyalar içeren çok sayıda açık dizin buldular ve bazı durumlarda, Bancolombia, BBVA, Banco Caja Social ve Davivienda gibi tanınmış Kolombiyalı bankaları taklit etmek için tasarlanmış tam kimlik avı sayfaları bile buldular. Bu sahte web siteleri, kullanıcı giriş bilgilerini ve diğer hassas finansal bilgileri çalmak için hazırlanmıştır.
Hedefleme ve koruma
Kimlik avı siteleri, standart web bileşenlerini kullanarak meşru bankacılık giriş portallarını çoğalttı. Bu sahte sayfaların yanı sıra, altyapı, kötü amaçlı yazılım sunumunun ilk aşaması olarak hizmet veren VBS komut dosyalarını da barındırdı. Bu komut dosyaları, bir kurbanın bilgisayarında idari ayrıcalıklar elde etmek ve daha sonra genellikle Remcos veya Asyncrats gibi emtia fareleri olmak üzere daha fazla yük indirmek için tasarlanmış kodu içeriyordu.
Bir sistem enfekte olduktan sonra, bu sıçanlar bir C2 sunucusuna bir bağlantı kurar ve saldırganların uzlaşmış ana bilgisayarları yönetmesine, verileri çalmasına ve daha fazla komut yürütmesine izin verir. Trustwave, başta Arjantin’de olmak üzere enfekte edilmiş makinelerin gösterge tablosunu gösteren Portekizli bir arayüze sahip bir Botnet yönetim paneli bile gözlemledi.
TrustWave, SuperBlack Fidye Yazılım Operatörleri ve Android kötü amaçlı yazılım dağıtımı da dahil olmak üzere Proton66’nın altyapısının kötü niyetli faaliyetler için kullanılmadığını doğruladı.
Hackread.com’un bildirdiği gibi, altyapı, hacklenen WordPress siteleri ve Xworm ve Strela Stealer gibi belirli kötü amaçlı yazılımları dağıtan hedeflenen saldırılar da dahil olmak üzere, Android kötü amaçlı yazılımların dağıtımı da dahil olmak üzere siber tehditler için bir merkezdir. Trustwave ayrıca Chang Way teknolojilerine potansiyel bağlantılara dikkat çekti ve Proton66’nın siber suçlu operasyonlar için önemli bir kolaylaştırıcı olarak rolünü gösterdi.
Şirket, Latin Amerika’daki kuruluşların, özellikle finans sektöründeki kuruluşların korumalarını artırması gerektiği konusunda uyarıyor. Bu, e -posta filtreleme sistemlerinin güçlendirilmesini, personelin yerel kimlik avı girişimlerini tanıması için eğitilmesini ve bölgeye özgü tehdit göstergelerini ve altyapıyı proaktif olarak izlemeyi içerir.