Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

BlindEagle обновила свой арсенал для атак на бразильские организации

21/08/24

S_242118

Исследователи «Лаборатории Касперского» сообщили о новой активности кибергруппы BlindEagle, которая с 2018 года ведёт кампании кибершпионажа, нацеленные на организации и частных лиц в Латинской Америке. В июне 2024 года группа обновила свои методы, внедрив новый плагин для шпионажа и использовав легитимные файлообменники из Бразилии для распространения вредоносного ПО, пишет Securitylab.

Основной целью BlindEagle остаются правительственные учреждения, энергетические и нефтегазовые компании, а также финансовые организации, особенно в Колумбии. По данным экспертов, 87% атак в мае и июне 2024 года были направлены именно на эту страну. Основные задачи группы — шпионаж и кража финансовой информации. Для этого используются трояны удалённого доступа (RAT), такие как njRAT, Lime-RAT и BitRAT.

В ходе майской кампании 2024 года BlindEagle активно применяла троянец njRAT, который позволяет отслеживать действия пользователя на заражённом устройстве, включая запись нажатий клавиш, получение снимков экрана и сбор системной информации.

В последние версии вредоносного ПО были добавлены плагины, расширяющие его функционал, что позволяет злоумышленникам собирать ещё больше конфиденциальной информации и устанавливать дополнительное вредоносное ПО.

Процесс заражения начинается с рассылки целевых фишинговых писем, которые маскируются под официальные уведомления от государственных органов. Такие письма часто содержат вложения, замаскированные под PDF-файлы, которые на самом деле запускают вредоносные сценарии, заражающие устройства жертв.

Кроме того, BlindEagle начала активнее использовать португальский язык и домены Бразилии, что может свидетельствовать о сотрудничестве с другими киберпреступными группировками. Для распространения вредоносного кода группа использует бразильские хостинги изображений, а ранее — такие сервисы, как Discord и Google Drive.

В июне 2024 года кибергруппа применила новую тактику — заражение с помощью DLL Sideloading, что ранее было нехарактерно для её операций. В этой кампании зловредные файлы маскировались под судебные документы, распространяемые через ZIP-архивы. Внутри архивов находились исполняемые файлы, которые инициировали заражение, а также дополнительные вредоносные компоненты.

Эксперты «Лаборатории Касперского» продолжают следить за активностью BlindEagle и рекомендуют организациям в Латинской Америке усилить меры безопасности для защиты от подобных угроз.

Темы:ПреступленияЛКкибершпионажЮжная Америка
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...