2024年6月、Zscaler ThreatLabzは、南アメリカの政府や金融セクターの組織や個人を標的としている高度な持続的脅威(APT)アクター、BlindEagleの新しい活動を検出した。標的のシステムにアクセスする主な方法は、フィッシング電子メールである。アクセス後、脅威アクターは、AsyncRAT、RemcosRATなどのコモディティー .NET リモートアクセストロイジャン(RAT)を使用して、様々な銀行サービスプロバイダーの資格情報を盗む。
BlindEagleは、コモディティー RAT の改変やカスタムバージョン、例えば BlotchyQuasar を運用することで知られている。攻撃チェーンは、PDF添付ファイルと ZIP アーカイブファイルを含むフィッシング電子メールで始まる。ZIP アーカイブには、.NET BlotchyQuasar 実行可能ファイルが含まれる。C2 コミュニケーションは、ハードコーディングされたポート 9057 を使用する。
BlotchyQuasar は、多くの機能を実装しており、特定の銀行や支払いサービスのインタラクションを監視する能力もある。ブラウザーと FTP クライアントアプリケーションから情報を盗む目的でアクセスする。マルウェアは、Pastebin から現在の C2 ドメインを取得する。Pastebin の暗号化を解除することで、3 つの追加の C2 ドメイン、equipo.linkpc[.]net、perfect5.publicvm[.]com などを発見した。
securityboulevard.com
BlindEagle Targets Colombian Insurance Sector with BlotchyQuasar