Ein finanziell motivierter Bedrohungsakteur, der als Blind Eagle bekannt ist, ist mit einem ausgefeilten Toolset und einer ausgeklügelten Infektionskette wieder aufgetaucht, um Organisationen in Kolumbien und Ecuador anzugreifen.
Die neuesten Untersuchungen von Check Point bieten neue Einblicke in die Taktiken und Techniken der spanischsprachigen Gruppe, einschließlich der Verwendung ausgeklügelter Tools und regierungsnaher Köder, um die Killchain zu aktivieren.
Blind Eagle wird auch unter dem Namen APT-C-36 geführt und zeichnet sich durch einen engen geografischen Fokus und wahllose Angriffe auf südamerikanische Staaten aus, die mindestens seit 2018 durchgeführt werden.
Die Operationen von Blind Eagle wurden von Trend Micro im September 2021 dokumentiert, als eine Spear-Phishing-Kampagne beschrieben wurde, die vor allem auf kolumbianische Unternehmen abzielte, um eine als BitRAT bekannte Schadsoftware zu verbreiten, aber auch auf Ziele in Ecuador, Spanien und Panama.
Die Angriffsketten beginnen mit Phishing-E-Mails, die einen gefälschten Link enthalten, der, wenn er angeklickt wird, zum Einsatz eines Open-Source-Trojaners namens Quasar RAT führt, mit dem Ziel, Zugriff auf die Bankkonten der Opfer zu erhalten.
Einige der betroffenen Banken sind Banco AV Villas, Banco Caja Social, Banco de Bogotá, Banco Popular, Bancoomeva, BBVA, Colpatria, Davivienda und TransUnion.
Befindet sich der E-Mail-Empfänger außerhalb Kolumbiens, wird die Angriffssequenz abgebrochen und das Opfer wird auf die offizielle Website der kolumbianischen Grenzkontrollbehörde Migraci?n Colombia umgeleitet.
Eine ähnliche Kampagne, die sowohl auf Kolumbien als auch auf Ecuador abzielt, gibt sich als die kolumbianische Steuerbehörde (SRI) aus und nutzt eine ähnliche Geoblocking-Technologie, um Anfragen aus anderen Ländern herauszufiltern.
Bei diesem Angriff handelt es sich nicht um eine RAT-Malware, sondern um einen komplexeren mehrstufigen Prozess, der die legitime mshta.exe-Binärdatei dazu missbraucht, ein in eine HTML-Datei eingebettetes VBScript auszuführen, um schließlich zwei Python-Skripte herunterzuladen.
Das erste dieser Skripte, ByAV2.py, ist ein In-Memory-Loader, der dazu dient, eine Meterpreter-Nutzlast im DLL-Format auszuführen. mp.py ist ebenfalls ein Meterpreter-Artefakt, allerdings in Python programmiert, was darauf hindeutet, dass der Bedrohungsakteur eines dieser Skripte als redundante Methode verwendet, um den Backdoor-Zugang zum Host zu erhalten.
„Blind Eagle ist ein seltsamer Vogel unter den APT-Gruppen“, so das Fazit der Forscher. „Seinem Toolset und seinen üblichen Aktivitäten nach zu urteilen, ist er eindeutig mehr an Cyberkriminalität und finanziellem Gewinn interessiert als an Spionage.
Diese Entwicklung kommt nur wenige Tage, nachdem Qualys bekannt gegeben hat, dass ein unbekannter Angreifer persönliche Informationen, die er von einer kolumbianischen Genossenschaftsbank gestohlen hat, nutzt, um Phishing-E-Mails zu erstellen, die zum Einsatz von BitRAT führen.