Blind Eagle组织与一个新的多阶段攻击链相关,该攻击链会在受感染的系统上部署NjRAT远程访问木马。Blind Eagle组织使用一个JavaScript下载程序来执行托管在Discord CDN中的PowerShell脚本。该脚本会分发另一个PowerShell脚本和一个Windows批处理文件,并在Windows启动文件夹中保存一个VBScript文件以实现持久性。然后运行VBScript代码以启动批处理文件,批处理文件随后被解密,以运行之前与之一起分发的PowerShell脚本。在最后阶段,PowerShell脚本会执行njRAT。
近期,研究人员发现并捕获到了盲眼鹰组织针对哥伦比亚地区的攻击行动。该组织一如既往地采用鱼叉攻击,以PDF文件作为入口点,诱导用户点击文档里面的恶意链接下载RAR压缩包文件。该压缩包文件需要输入诱饵文档中的提示密码才能解压,解压后是伪装成PDF文件图标的VBS脚本。该脚本被用户点击执行后将开启一段复杂多阶段的无文件攻击链,最终加载的是LimeRAT远控木马,而没有使用前期的AsyncRAT、NjRAT远控木马,这都表明该组织攻击武器丰富多样化,不同时期会使用不同的攻击木马。
APT-C-36(又名Blind Eagle)是一个南美网络间谍组织,在过去几年中一直积极针对位于拉丁美洲的实体。2月20日,研究人员发现了该组织的新活动。攻击者冒充哥伦比亚政府税务机构,针对哥伦比亚的关键行业,包括卫生、金融、执法、移民和负责和平谈判的机构。基于感染媒介和有效载荷部署机制,研究人员还发现了针对厄瓜多尔、智利和西班牙的活动。
APT-C-36组织又名Blind Eagle,至少从2018年开始就一直在对南美洲各国公民发起攻击。在最近针对厄瓜多尔的活动中,研究人员检测到一个新的感染链,其中涉及更先进的工具集。攻击始于伪装成哥伦比亚政府的网络钓鱼电子邮件,最终会安装开源木马Quasar RAT。攻击者会分析传入HTTP请求以检查目标是否来自哥伦比亚境外,如果来自境外则中止攻击。此次活动的最终目标是拦截并访问受害者的银行账户。
APT-C-36是一个疑似来自南美洲的APT组织,近期常采用鱼叉攻击,以PDF文件作为入口点,诱导用户点击文档里面的恶意链接下载RAR压缩包文件。大部分压缩包文件需要密码才能解压,密码基本为4位纯数字,解压后是伪装成PDF文件名的VBS脚本。VBS脚本被用户点击执行后将开启一段复杂多阶段的无文件攻击链,最终加载程序为混淆过的AsyncRAT或NjRAT木马,并且加入了绕过AMSI机制的代码,这都表明该组织在不断优化其攻击武器。
APT-C-36(盲眼鹰),是一个疑似来自南美洲的、主要针对哥伦比亚的APT组织,该组织自2018年持续发起针对哥伦比亚的攻击活动。近期,研究人员监测到了APT-C-36组织针对哥伦比亚国家发起的多次钓鱼邮件定向攻击。APT-C-36经常使用鱼叉攻击,通过伪装成政府部门对受害者发送钓鱼邮件,此次发现的两次行动都采用了邮件投递第一阶段的载荷。第一次行动伪装DHL包裹投递,主题使用出货通知单来迷惑中招目标;第二次投递伪装成政府邮件,发送伪装成pdf文件的恶意文档。
盲眼鹰(APT-C-36)组织是一个疑似来自南美洲的、主要针对哥伦比亚的APT组织。近日,研究人员捕获到了盲眼鹰的攻击活动样本,感染链与之前的攻击活动保持相对一致,使用诱饵PDF作为入口点,诱导受害者点击短链接下载压缩包,解压后点击执行伪装为pdf的VBS脚本,从而开启一个复杂的多阶段无文件感染链。此次活动的诱饵伪装成哥伦比亚国家司法部门,使用西班牙语的诱饵文档,最终加载njRAT。
APT-C-36组织又名盲眼鹰,是一个疑似来自南美洲的、主要针对哥伦比亚的APT组织,该组织自2018年持续发起针对哥伦比亚的攻击活动。近日,研究人员发现并捕获到了疑似APT-C-36组织的攻击行动,恶意文档最终释放RAT对中招机器进行远程控制,已有国外哥伦比亚用户受到了影响。 简况样本标题为FACTURACION-PDF-10-AGOSTO-2021.xlam,包含在多个压缩包中,压缩包的名字被伪装成了各种金融、政府相关标题,并且所有的文件名称都是西班牙语。此次捕获到的恶意表格文档内部没有内容,如果有不谨慎的用户随意点击了“启用宏”的按钮,其内部的宏代码就已经开始自动执行。安全声明如下图:
研究人员分享了APT-C-36组织(Blind Eagle)针对南美实体的垃圾邮件活动的新发现。APT-C-36 使用远程访问工具向南美洲的各个实体发送网络钓鱼电子邮件,邮件以“银行账户扣押令”或“伴侣外遇照片”为主题,诱使收件人打开附件。近日,研究人员发现APT-C-36组织在攻击活动中使用了名为 BitRAT 的 RAT。 电子邮件冒充哥伦比亚国家税务和海关总局,声称“已发出银行账户扣押令”,电子邮件附件中包含更多详细信息,电子邮件如下:
启明星辰ADLab实验室在近几个月内,捕获到多起针对哥伦比亚国家的政府部门,金融、银行、保险等行业及卫生和制药机构发起的钓鱼邮件定向攻击。攻击者以“冠状病毒检测紧急告知单”或“刑事诉讼通知单”等命名的诱饵文档作为邮件附件,并配合鱼叉邮件向攻击目标电脑植入远控木马。研究人员通过对攻击者伪装的来源信息、域名使用偏好、IP地址等对比分析,发现该系列攻击来源于盲眼鹰组织,但采用的攻击武器较以往完全不同。盲眼鹰首次被披露于2019年初,是一个疑似来自南美洲的APT组织,其最早活跃时间可追溯到2018年,主要针对哥伦比亚政府和大型公司进行攻击。在对攻击活动深入分析后,研究人员发现该组织采用了更为先进的攻击技术和反追踪技术。在本次攻击过程中,该黑客组织使用一个无恶意的文档作为媒介,诱使目标下载文档中提供的恶意短链接(该短链接指向一个加密过MHTML的恶意文档),同时该组织还采用了一款隐蔽能力和免杀能力更强的RAT-AsyncRAT,同时结合复杂多层加密与代码嵌套手段来提供反分析能力和反检测能力。