BlindEagle (APT-C-36), 2018’den beri faaliyet gösteren Latin Amerika İleri Sürekli Tehdit grubudur. Kolombiya, Ekvador, Şili, Panama ve diğer bölge ülkelerindeki hükümet, finans ve enerji sektörlerini hedef almaktadır.
BlindEagle, basit ama etkili teknikler kullanmasıyla tanınıyor; grup, finansal amaçlı saldırılar ile casusluk operasyonları arasında geçiş yapmada çok yönlülük sergiliyor.
Kaspersky Lab’daki siber güvenlik araştırmacıları, yakın zamanda silahlı e-postalar aracılığıyla birden fazla kuruluşa saldırdığı tespit edilen bu yeni grubu tespit etti.
APT Grubu BlindEagle Saldırıyor Kuruluşlar
Gelişmiş bir tehdit aktörü olan BlindEagle, hükümet ve finans kuruluşları gibi görünen kimlik avı e-postalarıyla başlayan çok aşamalı saldırılar gerçekleştiriyor.
Tespit edilmekten kaçınmak için kampanyalarında URL kısaltıcılar aracılığıyla coğrafi konuma dayalı filtreleme uygulanıyor; böylece yalnızca belirli bölgelere ulaşılabiliyor.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
Genellikle, ilk enfeksiyon vektörü, Visual Basic Scriptleri içeren LHA veya UUE gibi daha az popüler olanlar da dahil olmak üzere farklı formatlardaki sıkıştırılmış dosyalardır.
Bu betikler, saldırgan tarafından kontrol edilen sunuculardan veya Pastebin veya GitHub gibi genel platformlardan daha fazla yük indirmek için WScript, XMLHTTP nesneleri veya PowerShell kullanır.
Grubun kötü amaçlı yazılım dağıtımı, çoğunlukla steganografi tekniklerini kullanan ve değiştirilmiş açık kaynaklı Uzaktan Erişim Truva Atları’nı (RAT’ler) içeren kodlanmış veya gizlenmiş eserleri içeren bir dizi aşamadan geçer.
Grubun, internet üzerinden para çalma veya siber casusluk gibi belirli kampanya hedefleri doğrultusunda sıklıkla bunlar arasında geçiş yaparak kullandığı njRAT, LimeRAT, BitRAT ve AsyncRAT gibi farklı RAT’lardan bunu anlamak mümkün.
Son yükün meşru süreçlerin bellek alanında yürütüldüğü yerde tespit edilmekten kaçınmak için, esas olarak süreç içi boşaltma gibi süreç enjeksiyon tekniklerini kullanırlar.
Raporda, ekibin RAT’larını geliştirilmiş bilgi toplama yetenekleri, ek eklenti yükleme özellikleri ve bazı durumlarda geliştirilen banka hesabı kimlik bilgilerini ele geçirme özelliği ile değiştirdiği, bunların kurbanların gereksinimlerine veya her bir kampanyanın tam olarak neyi başarmayı amaçladığına göre nasıl uyarlanabileceğini gösterdiği belirtiliyor.
BlindEagle daha önce temel kimlik avı ve hazır kötü amaçlı yazılım gibi basit taktikler kullandığı için tanınıyordu. Ancak daha yakın zamanda grup hedeflerine karşı daha karmaşık yöntemler gösterdi.
Mayıs 2023’te, Portekizce dil özelliklerine sahip eserler içeren ve Brezilya resim barındırma sitelerini kullanan bir kampanya yürüttüler; bu da muhtemelen diğer gruplarla işbirliğini gösteriyordu.
Sonraki ay, Haziran ayında DLL yan yükleme tekniğinin kullanıldığı bir saldırı gerçekleşti ve yeni bir modüler kötü amaçlı yazılım yükleyicisi olan HijackLoader kullanıma açıldı.
TTP’ler
Aşağıda tüm TTP’lerden bahsettik:
- Kimlik avı
- Kötü Amaçlı Ekler
- URL Kısaltıcılar
- Dinamik DNS
- Kamusal Altyapı
- İşlem Oyuklaştırma
- VBS Komut Dosyaları/.NET Derlemeleri
- Açık kaynaklı RAT’lar
Kolombiyalı yargı kurumlarından geliyormuş gibi görünen kimlik avı e-postaları, saldırıları, meşru gibi görünen ancak kurbanları kandırıp bu dosyaları indirmeye ve çalıştırmaya yönlendiren kötü amaçlı PDF veya DOCX ekleriyle başlatıyor.
Mağdurların %87’sinin bulunduğu Kolombiya onlar için önemli bir varış noktası olmaya devam ederken, BlindEagle ayrıca Ekvador, Şili ve Panama’da da faaliyet gösteriyor.
Hükümet, eğitim, sağlık ve ulaşım gibi çeşitli alanlar bu kampanyalardan etkileniyor. BlindEagle, siber casusluk ve finansal kimlik hırsızlığı kampanyalarının tekrar tekrar uygulanması yoluyla bölgede ciddi bir tehdit oluşturmaya devam ediyor.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Acces