Yeni APT Grubu BlindEagle Silahlandırılmış E-postalar Yoluyla Birden Fazla Kuruluşa Saldırıyor


Yeni APT Grubu BlindEagle Silahlandırılmış E-postalar Yoluyla Birden Fazla Kuruluşa Saldırıyor

BlindEagle (APT-C-36), 2018’den beri faaliyet gösteren Latin Amerika İleri Sürekli Tehdit grubudur. Kolombiya, Ekvador, Şili, Panama ve diğer bölge ülkelerindeki hükümet, finans ve enerji sektörlerini hedef almaktadır.

BlindEagle, basit ama etkili teknikler kullanmasıyla tanınıyor; grup, finansal amaçlı saldırılar ile casusluk operasyonları arasında geçiş yapmada çok yönlülük sergiliyor.

DÖRT

Kaspersky Lab’daki siber güvenlik araştırmacıları, yakın zamanda silahlı e-postalar aracılığıyla birden fazla kuruluşa saldırdığı tespit edilen bu yeni grubu tespit etti.

APT Grubu BlindEagle Saldırıyor Kuruluşlar

Gelişmiş bir tehdit aktörü olan BlindEagle, hükümet ve finans kuruluşları gibi görünen kimlik avı e-postalarıyla başlayan çok aşamalı saldırılar gerçekleştiriyor.

Başsavcılık Ofisini taklit eden kimlik avı (Kaynak – Securelist)

Tespit edilmekten kaçınmak için kampanyalarında URL kısaltıcılar aracılığıyla coğrafi konuma dayalı filtreleme uygulanıyor; böylece yalnızca belirli bölgelere ulaşılabiliyor.

Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot

Genellikle, ilk enfeksiyon vektörü, Visual Basic Scriptleri içeren LHA veya UUE gibi daha az popüler olanlar da dahil olmak üzere farklı formatlardaki sıkıştırılmış dosyalardır.

Bu betikler, saldırgan tarafından kontrol edilen sunuculardan veya Pastebin veya GitHub gibi genel platformlardan daha fazla yük indirmek için WScript, XMLHTTP nesneleri veya PowerShell kullanır.

Grubun kötü amaçlı yazılım dağıtımı, çoğunlukla steganografi tekniklerini kullanan ve değiştirilmiş açık kaynaklı Uzaktan Erişim Truva Atları’nı (RAT’ler) içeren kodlanmış veya gizlenmiş eserleri içeren bir dizi aşamadan geçer.

BlindEagle kampanyasında kullanılan gizli yazı (Kaynak – Securelist)

Grubun, internet üzerinden para çalma veya siber casusluk gibi belirli kampanya hedefleri doğrultusunda sıklıkla bunlar arasında geçiş yaparak kullandığı njRAT, LimeRAT, BitRAT ve AsyncRAT gibi farklı RAT’lardan bunu anlamak mümkün.

Son yükün meşru süreçlerin bellek alanında yürütüldüğü yerde tespit edilmekten kaçınmak için, esas olarak süreç içi boşaltma gibi süreç enjeksiyon tekniklerini kullanırlar.

Raporda, ekibin RAT’larını geliştirilmiş bilgi toplama yetenekleri, ek eklenti yükleme özellikleri ve bazı durumlarda geliştirilen banka hesabı kimlik bilgilerini ele geçirme özelliği ile değiştirdiği, bunların kurbanların gereksinimlerine veya her bir kampanyanın tam olarak neyi başarmayı amaçladığına göre nasıl uyarlanabileceğini gösterdiği belirtiliyor.

BlindEagle daha önce temel kimlik avı ve hazır kötü amaçlı yazılım gibi basit taktikler kullandığı için tanınıyordu. Ancak daha yakın zamanda grup hedeflerine karşı daha karmaşık yöntemler gösterdi.

Mayıs 2023’te, Portekizce dil özelliklerine sahip eserler içeren ve Brezilya resim barındırma sitelerini kullanan bir kampanya yürüttüler; bu da muhtemelen diğer gruplarla işbirliğini gösteriyordu.

Sonraki ay, Haziran ayında DLL yan yükleme tekniğinin kullanıldığı bir saldırı gerçekleşti ve yeni bir modüler kötü amaçlı yazılım yükleyicisi olan HijackLoader kullanıma açıldı.

TTP’ler

Aşağıda tüm TTP’lerden bahsettik:

  • Kimlik avı
  • Kötü Amaçlı Ekler
  • URL Kısaltıcılar
  • Dinamik DNS
  • Kamusal Altyapı
  • İşlem Oyuklaştırma
  • VBS Komut Dosyaları/.NET Derlemeleri
  • Açık kaynaklı RAT’lar

Kolombiyalı yargı kurumlarından geliyormuş gibi görünen kimlik avı e-postaları, saldırıları, meşru gibi görünen ancak kurbanları kandırıp bu dosyaları indirmeye ve çalıştırmaya yönlendiren kötü amaçlı PDF veya DOCX ekleriyle başlatıyor.

Mağdurların %87’sinin bulunduğu Kolombiya onlar için önemli bir varış noktası olmaya devam ederken, BlindEagle ayrıca Ekvador, Şili ve Panama’da da faaliyet gösteriyor.

Hükümet, eğitim, sağlık ve ulaşım gibi çeşitli alanlar bu kampanyalardan etkileniyor. BlindEagle, siber casusluk ve finansal kimlik hırsızlığı kampanyalarının tekrar tekrar uygulanması yoluyla bölgede ciddi bir tehdit oluşturmaya devam ediyor.

Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Acces



Source link