BlindEagle, “APT-C-36” olarak da bilinir, basit ancak etkili saldırı teknikleri ve metodolojileriyle tanınan gelişmiş bir sürekli tehdit (APT) grubudur. Grup, Kolombiya, Ekvador, Şili, Panama ve Latin Amerika’daki diğer ülkelerdeki varlıkları ve bireyleri sürekli olarak hedef alıyor ve özellikle hükümet kurumları, finans şirketleri, enerji, petrol ve gaz şirketleri ve eğitim, sağlık ve ulaştırma organizasyonlarına odaklanıyor.
Araştırmacılar, grubun Mayıs ve Haziran aylarında gerçekleştirdiği casusluk kampanyalarını gözlemlediler. Grup, bu dönemde Kolombiya’daki bireylere ve örgütlere odaklandı ve bölgedeki mağdurların yaklaşık %87’si bu bölgeden geldi.
BlindEagle’ın Kimlik Avı Kampanyaları
Kaspersky araştırmacıları, Kolombiya’ya yapılan saldırılar sırasında BlindEagle grubunun, önceki kampanyalarda kullanılan İspanyolca eserlerin aksine, dizeler ve değişken adlar içinde Portekizce eserleri içeren bir işlem kullandığını belirtti. Ayrıca, operasyonlar içinde Brezilya görüntü barındırma sitelerinin kullanımını gözlemlediler ve bu da bu yeni unsurların, operasyonel aralığı güçlendirmek için üçüncü tarafların katılımı veya dış kaynak kullanımıyla ilgili olabileceğini düşündürüyor.
Haziran kampanyası her zamanki taktikleri içerse de, DLL yan yükleme ve “HijackLoader” adı verilen yeni bir modüler kötü amaçlı yazılım yükleyicisini de içeriyordu. Saldırı, Kolombiya’nın yargı kurumlarını taklit eden çeşitli kimlik avı e-postalarının kullanımıyla düzenlenmişti ve kötü amaçlı PDF veya DOCX dosya ekleri, talep bildirimleri veya mahkeme celpleri gibi görünüyordu.
E-postalar, kurbanları ekli dosyalara erişmeye ve iddia edilen yasal sorunları çözmek için yanlış yönlendirilmiş bir girişim olarak belgeleri indirmek için gömülü bağlantılara tıklamaya kandırmayı amaçlıyor. Kurbanlar istemeden saldırgan tarafından kontrol edilen sunuculardan sistemlerine kötü amaçlı eserler yüklüyor.
Kimlik avı kampanyalarının dikkat çeken bir yönü de coğrafi konum filtrelemesi. Bu filtreleme, kurbanları hedef olmayan ülkelerden taklit edilen kuruluşun resmi web sitesine yönlendiriyor ve bu da saldırının tespit edilmesini ve analiz edilmesini zorlaştırıyor.
Grubun URL kısaltıcıları ve resim barındırma siteleri ve GitHub depoları gibi genel altyapıyı kullanması, tespit edilmekten kaçınmalarına ve karmaşık bir saldırı zinciri oluşturmalarına olanak tanır. İlk dropper indirildikten sonra, Visual Basic Scripts, XMLHTTP nesneleri veya PowerShell komutları içerebilen sıkıştırılmış bir arşivden dosyaları çıkarır ve çalıştırır.
Bu betikler, kötü amaçlı bir yapıyı indirmek için bir sunucuyla iletişim kurar. Bu yapı bir metin dosyası, resim veya .NET yürütülebilir dosyası olabilir.
Uyum ve Evrim
BlindEagle’ın uyum yeteneği, başarılarındaki temel faktördür. Kampanya hedeflerine bağlı olarak njRAT, LimeRAT ve AsyncRAT gibi çeşitli açık kaynaklı RAT’lar kullanırlar. Bu araçları ihtiyaçlarına uyacak şekilde değiştirdikleri, yeni yetenekler ve özellikler ekledikleri gözlemlenmiştir. Bazı durumlarda, mali saldırılar gerçekleştirmek için casusluk kötü amaçlı yazılımlarını yeniden kullanmışlardır ve bu da hedeflerine ulaşmada esnekliklerini göstermektedir.
Araştırmacılar, grubun taktiklerindeki evrimin, BlindEagle’ın saldırı yöntemlerini uyarlama ve geliştirme isteğini gösterdiğini ve Latin Amerika’daki kurum ve bireyler için güvenilir bir tehdit oluşturduğunu belirtiyor.