BlindEagle은 BlotchyQuasar를 사용하여 콜롬비아 보험 부문을 표적

2024년 6월, Zscaler ThreatLabz는 남아메리카, 특히 콜롬비아와 에콰도르의 정부 및 금융 부문에서 조직과 개인을 표적으로 삼는 고급 지속 위협 (APT) 행위자인 BlindEagle의 새로운 활동을 감지했습니다. 표적 시스템에 접근하는 주요 방법은 피싱 이메일입니다. 접근한 후, 위협 행위자는 일반적으로 다양한 은행 서비스 공급자의 자격 증명을 훔치는 .NET 원격 액세스 트로이 (RAT)인 AsyncRAT, RemcosRAT 등을 사용합니다. BlindEagle은 또한 BlotchyQuasar와 같은 일반적인 RAT의 재사용 또는 맞춤형 변형인을 운영하는 것으로 알려져 있습니다. 공격 체인은 일반적으로 PDF 첨부 파일과 ZIP 아카이브 파일을 포함하는 URL이 포함된 피싱 이메일에서 시작됩니다. ZIP 아카이브에는 .NET BlotchyQuasar 실행 파일이 포함되어 있습니다. 이 샘플의 C2 통신은 하드코딩된 포트 9057을 사용합니다. BlotchyQuasar는 은행 및 지불 서비스와 관련된 피해자의 상호작용을 모니터링하는 기능을 포함하여 다양한 기능을 구현합니다. 이 악성 코드는 브라우저 및 FTP 클라이언트 애플리케이션에서 정보를 훔치는 목적으로 사용됩니다. 악성 코드는 현재 C2 도메인을 검색하기 위해 Pastebin에 액세스합니다. 이러한 페이스트를 성공적으로 해독하여 우리는 세 개의 추가 C2 도메인을 확인할 수 있었습니다: equipo.linkpc[.]net, perfect5.publicvm[.]com 등.