Ngành bảo hiểm Colombia là mục tiêu của một tác nhân đe dọa được theo dõi là Blind Eagle với mục tiêu cuối cùng là cung cấp phiên bản tùy chỉnh của trojan truy cập từ xa hàng hóa (RAT) được gọi là Quasar RAT kể từ tháng 6/2024.
"Các cuộc tấn công bắt nguồn từ các email lừa đảo mạo danh cơ quan thuế Colombia", nhà nghiên cứu Gaetano Pellegrino của Zscaler ThreatLabz cho biết trong một phân tích mới được công bố vào tuần trước.
Mối đe dọa dai dẳng tiên tiến (APT), còn được gọi là AguilaCiega, APT-C-36 và APT-Q-98, có thành tích tập trung vào các tổ chức và cá nhân ở Nam Mỹ, đặc biệt liên quan đến chính phủ và lĩnh vực tài chính ở Colombia và Ecuador.
Các chuỗi tấn công, như Kaspersky đã ghi nhận gần đây, bắt nguồn từ các email lừa đảo lôi kéo người nhận nhấp vào các liên kết độc hại đóng vai trò là bệ phóng cho quá trình lây nhiễm.
Các liên kết, được nhúng trong tệp đính kèm PDF hoặc trực tiếp trong nội dung email, trỏ đến các kho lưu trữ ZIP được lưu trữ trên thư mục Google Drive được liên kết với tài khoản bị xâm phạm thuộc về một tổ chức chính phủ khu vực ở Colombia.
"Mồi nhử mà Blind Eagle sử dụng liên quan đến việc gửi thông báo cho nạn nhân, tự xưng là lệnh tịch thu do các khoản thanh toán thuế chưa thanh toán", Pellegrino lưu ý. "Điều này nhằm tạo ra cảm giác cấp bách và gây áp lực buộc nạn nhân phải hành động ngay lập tức"
Kho lưu trữ chứa trong đó một biến thể Quasar RAT được gọi là BlotchyQuasar, đóng gói trong các lớp xáo trộn bổ sung bằng cách sử dụng các công cụ như DeepSea hoặc ConfuserEx để cản trở các nỗ lực phân tích và kỹ thuật đảo ngược. Trước đó, nó đã được IBM X-Force trình bày chi tiết vào tháng 7/2023.
Phần mềm độc hại bao gồm khả năng ghi lại các lần gõ phím, thực hiện các lệnh shell, đánh cắp dữ liệu từ trình duyệt web và máy khách FTP và giám sát các tương tác của nạn nhân với các dịch vụ ngân hàng và thanh toán cụ thể ở Colombia và Ecuador.
Nó cũng tận dụng Pastebin như một trình phân giải giọt chết để tìm nạp miền lệnh và kiểm soát (C2), với tác nhân đe dọa tận dụng các dịch vụ DNS động (DDNS) để lưu trữ miền C2.
"Blind Eagle thường bảo vệ cơ sở hạ tầng của mình đằng sau sự kết hợp của các nút VPN và các bộ định tuyến bị xâm nhập, chủ yếu nằm ở Colombia", Pellegrino nói. "Cuộc tấn công này cho thấy việc tiếp tục sử dụng chiến lược này".