哥伦比亚保险业是被追踪为 Blind Eagle 的威胁行为者的目标,其最终目标是自 2024 年 6 月以来提供已知商品远程访问木马 (RAT) 的定制版本,称为 Quasar RAT。
“攻击起源于冒充哥伦比亚税务机关的网络钓鱼电子邮件,”Zscaler ThreatLabz 研究员 Gaetano Pellegrino 在上周发表的一份新分析中说。
高级持续威胁 (APT),也称为 AguilaCiega、APT-C-36 和 APT-Q-98,一直专注于南美洲的组织和个人,特别是与哥伦比亚和厄瓜多尔的政府和金融部门相关的组织和个人。
正如卡巴斯基最近记录的那样,攻击链起源于网络钓鱼电子邮件,这些电子邮件诱使收件人点击恶意链接,这些链接是感染过程的启动板。
这些链接(嵌入在 PDF 附件中或直接嵌入电子邮件正文)指向托管在 Google Drive 文件夹上的 ZIP 存档,该文件夹与属于哥伦比亚地区政府组织的被盗账户相关联。
“Blind Eagle 使用的诱饵包括向受害者发送通知,声称是由于未缴税款而发出扣押令,”Pellegrino 指出。“这是为了营造一种紧迫感,并迫使受害者立即采取行动。”
该档案包含一个名为 BlotchyQuasar 的 Quasar RAT 变体,它使用 DeepSea 或 ConfuserEx 等工具打包了额外的混淆层,以阻碍分析和逆向工程工作。IBM X-Force 此前于 2023 年 7 月详细介绍了它。
该恶意软件包括记录击键、执行 shell 命令、从 Web 浏览器和 FTP 客户端窃取数据以及监控受害者与位于哥伦比亚和厄瓜多尔的特定银行和支付服务的交互的功能。
它还利用 Pastebin 作为死点解析器来获取命令和控制 (C2) 域,威胁行为者利用动态 DNS (DDNS) 服务来托管 C2 域。
“Blind Eagle 通常将其基础设施保护在 VPN 节点和受感染路由器的组合后面,主要位于哥伦比亚,”Pellegrino 说。“这次攻击表明了这种策略的持续使用。”