تم ربط ممثل التهديد المعروف باسم Blind Eagle بحملات جديدة تستهدف مختلف الصناعات الرئيسية في كولومبيا.
يقال أيضًا أن النشاط، الذي اكتشفه فريق البحث والاستخبارات في BlackBerry في 20 فبراير 2023، قد شمل الإكوادور وتشيلي وإسبانيا، مما يشير إلى توسع مجموعة القرصنة ببطء.
وقالت شركة الأمن السيبراني الكندية إن الكيانات المستهدفة تشمل الصحة والتمويل وإنفاذ القانون والهجرة والوكالات المسؤولة عن محادثات السلام الكولومبية.
تم الإبلاغ مؤخرًا عن Blind Eagle، المعروف أيضًا باسم APT-C-36، بواسطة Check Point Research، الذي يوضح بالتفصيل مجموعة أدوات الخصم المتقدمة التي تضمنت حمولات Meterpreter التي يتم تسليمها عبر رسائل البريد الإلكتروني المخادعة.
تضمنت أحدث مجموعة من الهجمات مجموعة انتحلت صفة وكالة الضرائب التابعة للحكومة الكولومبية، الإدارة الوطنية للضرائب والجمارك (DIAN)، باستخدام الإغراءات لخداع أهدافها من خلال حث المستفيدين على سداد الديون المستحقة.
حملت رسائل البريد الإلكتروني المصممة هذه رابطًا إلى ملف PDF يُزعم أنه مستضاف على موقع DIAN الإلكتروني ولكنه في الواقع قام بتسليم البرامج الضارة إلى الأنظمة المستهدفة، مما أدى إلى بدء سلسلة العدوى بشكل فعال.
وفقًا لباحثي BlackBerry، تضمنت صفحة موقع DIAN المزيفة زرًا يشجع الضحايا على تنزيل ملف PDF لعرض ما زعم الموقع أنه نموذج ضريبي معلق.
يؤدي النقر فوق الزر الأزرق إلى بدء تنزيل ملف ضار من شبكة توصيل محتوى Discord (CDN)، والتي أساء المهاجمون استخدامها في عملية التصيد الاحتيالي هذه.
الحمولة عبارة عن برنامج نصي مرئي أساسي (VBS) يتم تنفيذه عند فتح ملف PDF ويستخدم PowerShell لاسترداد DLL المستند إلى .NET والذي يقوم في النهاية بتحميل AsyncRAT في الذاكرة.
قال الباحثون إن حصان طروادة الخبيث (حصان طروادة الوصول عن بعد) المثبت على جهاز الضحية يسمح للجاني بالاتصال بنقطة النهاية المصابة في أي وقت وتنفيذ أي إجراء يريده.
تجدر الإشارة أيضًا إلى أن وكلاء التهديد يستخدمون خدمات DNS الديناميكية مثل DuckDNS للتحكم عن بعد في المضيفين المصابين.
يشتبه في أن Blind Eagle منظمة ناطقة باللغة الإسبانية بسبب اللغة المستخدمة في رسائل البريد الإلكتروني التي تستخدم في التصيد الاحتيالي. ومع ذلك، ليس من الواضح مكان وجود المهاجم أو ما إذا كان الدافع وراء هجماته هو التجسس أو المكاسب المالية.
قالت BlackBerry إن أساليب العمل المستخدمة كانت في الأساس هي نفسها كما في الجهود السابقة للمجموعة - بسيطة للغاية، ربما تعني أن المجموعة مرتاحة لطرقها في إطلاق الحملات عبر رسائل البريد الإلكتروني الاحتيالية وتشعر بالثقة في استخدامها أثناء استمرارها في العمل.