盲鹰黑客带着精致的工具和复杂的感染链回归

一个出于经济动机的威胁行为者被追踪为Blind Eagle，作为其针对哥伦比亚和厄瓜多尔组织的攻击的一部分，它以改进的工具集和精心设计的感染链重新浮出水面。

Check Point的最新研究为西班牙语组织的战术和技术提供了新的见解，包括使用复杂的工具和政府主题的诱饵来激活杀伤链。同样以APT-C-36的名义进行追踪，盲鹰以其狭窄的地理重点和至少自2018年以来对南美国家发动不分青红皂白的攻击而闻名。

趋势科技于 2021 年 9 月记录了 Blind Eagle 的操作，揭露了主要针对哥伦比亚实体的鱼叉式网络钓鱼活动，旨在提供名为 BitRAT 的商品恶意软件，较少关注厄瓜多尔、西班牙和巴拿马的目标。

攻击链从包含诱杀链接的网络钓鱼电子邮件开始，单击该链接会导致部署名为 Quasar RAT 的开源木马，最终目标是访问受害者的银行账户。一些目标银行包括Banco AV Villas，Banco Caja Social，Banco de Bogotá，Banco Popular，Bancoomeva，BBVA，Colpatria，Davivienda和TransUnion。

如果电子邮件收件人位于哥伦比亚境外，则攻击序列将中止，受害者将被重定向到哥伦比亚边境管制机构哥伦比亚移民局的官方网站。一项针对哥伦比亚和厄瓜多尔的相关运动伪装成后者的国税局（SRI），并利用类似的地理封锁技术来过滤来自其他国家的请求。

这种攻击不是丢弃RAT恶意软件，而是采用更复杂的多阶段过程，滥用合法的mshta.exe二进制文件来执行嵌入在HTML文件中的VBScript，最终下载两个Python脚本。

ByAV2.py，两者中的第一个是一个内存加载程序，旨在运行DLL格式的Meterpreter有效负载。mp.py 也是一个 Meterpreter 工件，只是它是用 Python 编程的，这表明威胁参与者可能使用其中一个作为冗余方法来保留对主机的后门访问。“盲鹰是APT群体中的一种奇怪的鸟，”研究人员总结道。“从其工具集和常规操作来看，它显然对网络犯罪和金钱收益比对间谍活动更感兴趣。

几天前，Qualys披露了一个未知的对手正在利用从哥伦比亚合作银行窃取的个人信息来制作网络钓鱼电子邮件，从而导致BitRAT的部署。

原文始发于微信公众号（黑猫安全）：盲鹰黑客带着精致的工具和复杂的感染链回归