Blind Eagle Hacking Group apunta a América del Sur con nuevas herramientas

Se han detectado campañas de hackeo en curso orquestadas por el grupo de actores de amenazas Blind Eagle (también conocido como APT-C-36) dirigidas a personas en toda América del Sur.

Los expertos en seguridad de Check Point Research (CPR) dieron a conocer los hallazgos en un nuevo aviso publicado el jueves que describe una nueva cadena de infección que involucra un conjunto de herramientas avanzadas.

“Durante los últimos meses hemos estado observando las campañas en curso orquestadas por Blind Eagle que en su mayoría se han adherido a las TTP [tácticas, técnicas y procedimientos] descritas anteriormente: correos electrónicos de phishing que pretenden ser del gobierno colombiano” escribió el equipo.

“Un ejemplo típico es un correo electrónico supuestamente del Ministerio de Relaciones Exteriores que amenaza al destinatario con problemas al salir del país a menos que resuelvan un asunto burocrático”.

Según CPR los correos electrónicos maliciosos incluían un enlace y un archivo PDF que dirigía a la desafortunada víctima al mismo enlace.

La solicitud HTTP entrante se analiza al hacer clic en el enlace para verificar si se origina fuera de Colombia.

Si lo hace el servidor aborta la cadena de infección y redirige al cliente al sitio web real del departamento de migración del Ministerio de Relaciones Exteriores de Colombia. Sin embargo si la solicitud entrante llega desde Colombia la cadena de infección continúa según lo programado.

“El servidor responde al cliente con un archivo para descargar. Este es un ejecutable de malware alojado en el servicio de intercambio de archivos MediaFire”, explicó CPR.

“El archivo está comprimido similar a un archivo ZIP utilizando el algoritmo LHA. Está protegido por contraseña, lo que lo hace impermeable al análisis estático ingenuo e incluso a la emulación de sandbox ingenua. La contraseña se encuentra tanto en el correo electrónico como en el PDF adjunto.”

El ejecutable dentro del archivo es una muestra modificada de QUASAR Rat que presenta varias características nuevas, incluidas funciones para activar y desactivar el proxy del sistema.

CPR detectó otra variante dirigida a Ecuador y haciéndose pasar por el Servicio de Impuestos Internos de Ecuador.

“Esta última campaña dirigida a Ecuador destaca cómo en los últimos años Blind Eagle ha madurado como una amenaza, refinando sus herramientas agregando funciones a las bases de código filtradas y experimentando con cadenas de infección elaboradas y ‘Living off the Land’”, se lee el aviso de RCP.

“Si lo que hemos visto es una indicación vale la pena vigilar a este grupo para que las víctimas no se vean sorprendidas por cualquier cosa inteligente que intenten a continuación”.

El aviso se produce semanas después de que el proveedor de atención médica colombiano Keralty informara sobre un ataque de ransomware en diciembre de 2022.

Fuente: https://www.infosecurity-magazine.com/news/blind-eagle-targets-south-america/