Специалисты ИБ-компании ThreatMon сообщают , что кибершпионская группировка Blind Eagle проводит новую многоэтапную цепочку атак, которая приводит к развертыванию трояна удаленного доступа (RAT) NjRAT на скомпрометированных системах.
Blind Eagle (APT-C-36) – предположительно испаноязычная группа, которая базируется на территории Южной Америки и с 2018 года наносит удары по предприятиям частного и государственного секторов в Колумбии, Эквадоре, Чили и Испании.
Кампания, обнаруженная ThreatMon, состоит из следующих шагов:
- система компрометируется с помощью RaaS (вредоносное ПО-как-услуга), атак социальной инженерии или фишинговых атак;
- в систему загружается JavaScript-загрузчик, который выполняет PowerShell-сценарий, размещенный в Discord CDN;
- сценарий удаляет другой PowerShell-сценарий и пакетный файл Windows, а затем сохраняет файл VBScript в папке автозагрузки Windows для обеспечения постоянства;
- выполняется код VBScript, который запускает пакетный файл;
- пакетный файл подвергается деобфускации для запуска PowerShell-сценария, доставленного ранее вместе с этим файлом;
- на заключительном этапе PowerShell-скрипт запускает njRAT.
NjRAT (он же Bladabindi), впервые обнаруженный в 2013 году, обладает множеством возможностей, которые позволяют злоумышленникам собирать конфиденциальную информацию и получать контроль над скомпрометированными компьютерами.
Установившись на системе, njRAT предоставляет киберпреступникам полный удаленный доступ к ней, где они могут осуществлять вредоносные действия, в том числе модифицировать реестр Windows, загружать/создавать/удалять файлы, выполнять команды, извлекать данные о компьютере, записывать нажатия клавиш на клавиатуре, похищать пароли, завершать процессы и делать скриншоты.
Напомним, что 27 февраля исследовательская группа BlackBerry сообщила , что Blind Eagle смогла выдать себя за государственное налоговое агентство Колумбии и Эквадора, чтобы похитить информацию из правительственных, финансовых и многих других учреждений этих стран.