BlindEagle нацеливается на колумбийский сектор страхования с помощью BlotchyQuasar

В июне 2024 года Zscaler ThreatLabz обнаружили новую активность от BlindEagle, продвинутого и устойчивого угрозы (APT), целящегося на организации и частных лиц в государственном и финансовом секторах в Южной Америке, особенно в Колумбии и Эквадоре. Основным способом проникновения в системы цели является рассылка фишинговых писем. Как только доступ получен, угроза обычно использует коммерческие .NET-троянцы удаленного доступа (RAT), такие как AsyncRAT, RemcosRAT и другие, чтобы украсть учетные данные от различных провайдеров банковских услуг. BlindEagle также известен тем, что использует переработанные или настроенные версии коммерческих RAT, таких как BlotchyQuasar. Цепочка атаки обычно начинается с фишингового письма, содержащего PDF-вложение и URL, указывающий на ZIP-архивный файл. ZIP-архив содержит исполняемый файл .NET BlotchyQuasar. Коммуникация C2 для этого образца использовала жестко закодированный порт 9057. BlotchyQuasar реализует множество функций, включая способность наблюдать за взаимодействием жертвы с определенными банковскими и платежными услугами. Она целирует браузер и клиент FTP для целей кражи информации. Мальварь получает доступ к Pastebin, чтобы получить текущий домен C2. Успешно расшифровав эти пасты, мы обнаружили еще три дополнительных домена C2: equipo.linkpc[.]net, perfect5.publicvm[.]com и другие.