Akter kibernetičke špijunaže praćen kao Blind Eagle povezan je s novim višestepenim lancem napada koji dovodi do postavljanja NjRAT trojanca za daljinski pristup na kompromitovane sisteme.
“Grupa je poznata po korištenju raznih sofistikovanih tehnika napada, uključujući prilagođeni malver, taktike socijalnog inženjeringa i napade krađe identiteta” navodi ThreatMon u izvještaju od utorka.
Blind Eagle, takođe poznat kao APT-C-36, je španska govorna grupa koja uglavnom napada subjekte privatnog i javnog sektora u Kolumbiji. Napadi koje je organizovala grupa takođe su bili na meti Ekvadora, Čilea i Španije.
Lanci zaraze koje su dokumentovali Check Point i BlackBerry ove godine otkrili su upotrebu mamaca za krađu identiteta za isporuku familija malicioznog softvera kao što su BitRAT i AsyncRAT, kao i Python učitavače u memoriji koji mogu pokrenuti Meterpreter payload.
Najnovije otkriće ThreatMon-a podrazumijeva korištenje JavaScript preuzimača za izvršavanje PowerShell skripte koja se nalazi u Discord CDN-u. Skripta, zauzvrat, ispušta drugu PowerShell skriptu i Windows skupnu datoteku i sprema VBScript datoteku u Windows startup folder kako bi se postigla postojanost.
VBScript kod se zatim pokreće za pokretanje batch datoteke, koja se naknadno demaskira da bi se pokrenula PowerShell skripta koja je prethodno isporučena zajedno s njim. U završnoj fazi, PowerShell skripta se koristi za izvršavanje NjRAT-a.
“NjRAT, poznat i kao Bladabindi, je alat za daljinski pristup (RAT) sa korisničkim interfejsom ili trojanac koji omogućava vlasniku programa da kontroliše računar krajnjeg korisnika” saopštila je kompanija za kibernetičku bezbjednost.
Izvor: The Hacker News