05 janvier 2023Ravie LakshmananCyberattaque/malware

Pirates Aigle Aveugle

Un cybercriminel à motivation financière suivi comme Aigle aveugle a refait surface avec un ensemble d’outils raffinés et une chaîne d’infection élaborée dans le cadre de ses attaques ciblant des organisations en Colombie et en Équateur.

Points de contrôle dernières recherches offre de nouvelles perspectives sur les tactiques et les techniques du groupe hispanophone, y compris l’utilisation d’outils sophistiqués et de leurres sur le thème du gouvernement pour activer la killchain.

Également suivi sous le nom d’APT-C-36, Blind Eagle se distingue par sa concentration géographique étroite et le lancement d’attaques aveugles contre les nations sud-américaines depuis au moins 2018.

Les opérations de Blind Eagle ont été documentées par Trend Micro en septembre 2021, révélant une campagne de harponnage visant principalement des entités colombiennes conçues pour diffuser un malware de base connu sous le nom de BitRAT, avec une moindre concentration sur des cibles en Équateur, en Espagne et au Panama.

Publicité

Les chaînes d’attaques commencent par des e-mails de phishing contenant un lien piégé qui, lorsqu’il est cliqué, conduit au déploiement d’un cheval de Troie open source nommé Quasar RAT dans le but ultime d’accéder aux comptes bancaires de la victime.

Certaines des banques ciblées comprennent Banco AV Villas, Banco Caja Social, Banco de Bogotá, Banco Popular, Bancoomeva, BBVA, Colpatria, Davivienda et TransUnion.

Pirates Aigle Aveugle

Si le destinataire de l’e-mail se trouve en dehors de la Colombie, la séquence d’attaque est interrompue et la victime est redirigée vers le site officiel de l’agence colombienne de contrôle des frontières, Migración Colombia.

Une campagne connexe distinguant à la fois la Colombie et l’Équateur se fait passer pour l’Internal Revenue Service (SRI) de ce dernier et utilise une technologie de blocage géographique similaire pour filtrer les demandes provenant d’autres pays.

Cette attaque, plutôt que de déposer un logiciel malveillant RAT, utilise un processus en plusieurs étapes plus complexe qui abuse du légitime mshta.exe binaire pour exécuter VBScript intégré dans un fichier HTML pour finalement télécharger deux scripts Python.

Le premier des deux, ByAV2.py, est un chargeur en mémoire conçu pour exécuter un Charge utile Meterpreter au format DLL. mp.py est également un artefact Meterpreter, sauf qu’il est programmé en Python, ce qui indique que l’acteur malveillant pourrait utiliser l’un d’entre eux comme méthode redondante pour conserver l’accès par porte dérobée à l’hôte.

« Blind Eagle est un oiseau étrange parmi les groupes APT », ont conclu les chercheurs. « A en juger par son ensemble d’outils et ses opérations habituelles, il est clairement plus intéressé par la cybercriminalité et le gain monétaire que par l’espionnage. »

Le développement intervient quelques jours après que Qualys a révélé qu’un adversaire inconnu exploite des informations personnelles volées à une banque coopérative colombienne pour créer des e-mails de phishing qui entraînent le déploiement de BitRAT.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


Rate this post
Publicité
Article précédentGoblin Slayer saison 2 sort en 2023, confirme une nouvelle bande-annonce d’anime
Article suivantKane à nouveau une cible de choix
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici