تم ربط ممثل التجسس الإلكتروني الذي تم تعقبه باعتباره Blind Eagle بسلسلة هجوم جديدة متعددة المراحل تؤدي إلى نشر طروادة NjRAT للوصول عن بُعد على الأنظمة المخترقة.
وقالت ThreatMon في تقرير يوم الثلاثاء: "المجموعة معروفة باستخدامها مجموعة متنوعة من تقنيات الهجوم المعقدة ، بما في ذلك البرامج الضارة المخصصة ، وتكتيكات الهندسة الاجتماعية ، وهجمات التصيد بالرمح" .
Blind Eagle ، يشار إليها أيضًا باسم APT-C-36 ، هي مجموعة مشتبه بها ناطقة بالإسبانية تضرب بشكل رئيسي كيانات القطاعين الخاص والعام في كولومبيا. كما استهدفت الهجمات التي دبرتها الجماعة الإكوادور وتشيلي وإسبانيا.
كشفت سلاسل العدوى التي وثقتها Check Point و BlackBerry هذا العام عن استخدام إغراءات التصيد الاحتيالي لتقديم عائلات البرامج الضارة للسلع مثل BitRAT و AsyncRAT ، بالإضافة إلى لوادر Python في الذاكرة القادرة على إطلاق حمولة Meterpreter.
أحدث اكتشاف من ThreatMon يستلزم استخدام أداة تنزيل JavaScript لتنفيذ برنامج PowerShell النصي مستضاف في Discord CDN. يقوم البرنامج النصي ، بدوره ، بإسقاط برنامج نصي PowerShell آخر وملف دفعي Windows ، ويحفظ ملف VBScript في مجلد بدء تشغيل Windows لتحقيق الثبات .
يتم بعد ذلك تشغيل رمز VBScript لتشغيل الملف الدفعي ، والذي تم تفكيكه لاحقًا لتشغيل البرنامج النصي PowerShell الذي تم تسليمه مسبقًا معه. في المرحلة النهائية ، يتم استخدام البرنامج النصي PowerShell لتنفيذ njRAT .
وقالت شركة الأمن السيبراني إن "njRAT ، المعروف أيضًا باسم Bladabindi ، هو أداة وصول عن بعد (RAT) مع واجهة مستخدم أو طروادة تسمح لمالك البرنامج بالتحكم في كمبيوتر المستخدم النهائي".