Главная страница » IOC
0
6 месяцев
IOC

BlindEagle APT IOCs

security

В июне 2024 года лаборатория Zscaler ThreatLabz обнаружила новые вредоносные действия BlindEagle, группы постоянных угроз (APT), также известной под именами AguilaCiega, APT-C-36 и APT-Q-98.

BlindEagle APT

Эта группа в основном нацелена на правительственные и финансовые организации в Южной Америке, особенно в Колумбии и Эквадоре, используя фишинговые письма в качестве основного вектора атак. Недавние атаки были направлены на сотрудников страхового сектора Колумбии. С помощью писем, выдающих себя за Национальное налоговое и таможенное управление Колумбии (DIAN), получателей обманом заставляли загрузить вредоносный ZIP-архив, содержащий троянца удаленного доступа BlotchyQuasar (RAT). Эта RAT, являющаяся разновидностью известной QuasarRAT, сильно обфусцирована, чтобы избежать обнаружения.

Фишинговые письма BlindEagle направляют жертв в папку Google Drive, которая контролируется взломанной учетной записью колумбийской правительственной организации. В письмах создается впечатление срочности, утверждается, что имеется постановление об аресте имущества из-за неуплаченных налогов. После того как жертва загружает и открывает ZIP-файл, запускается BlotchyQuasar, предоставляя злоумышленнику контроль над системой. Вредоносная программа предназначена для кражи данных о платежах, мониторинга взаимодействия с банковскими сервисами, регистрации нажатий клавиш и извлечения информации из браузеров и FTP-клиентов.

Командно-контрольная (C2) инфраструктура BlotchyQuasar включает использование Pastebin для получения зашифрованных данных C2-серверов. Домены, связанные с этими C2-серверами, часто используют службы Dynamic DNS и размещаются на взломанных VPN-узлах или маршрутизаторах в Колумбии, что соответствует типичной тактике BlindEagle. Zscaler приписывает эту кампанию BlindEagle на основании использования фишинговых приманок на тему DIAN, адаптированных вариантов вредоносного ПО и схем инфраструктуры, которые соответствуют ранее задокументированным операциям BlindEagle. BlindEagle продолжает использовать методы обфускации для сокрытия своей инфраструктуры и уклонения от обнаружения, что говорит о том, что этот злоумышленник, скорее всего, продолжит проводить целевые атаки в регионе.

Indicators of Compromise

Domains

  • edificiobaldeares.linkpc.net
  • equipo.linkpc.net
  • perfect5.publicvm.com
  • perfect8.publicvm.com

URLs

  • https://pastebin.com/raw/XAfmb6xp

MD5

  • b83f6c57aa04dab955fadcef6e1f4139

SHA1

  • a68cac786b47575a0d747282ace9a4c75e73504d

SHA256

  • ec2dd6753e42f0e0b173a98f074aa41d2640390c163ae77999eb6c10ff7e2ebd
Комментарии: 0
Похожие записи
0
3 часа
IOC

APT37 - RokRat

security
APT37, также известная как ScarCruft, Reaper и Red Eyes - северокорейская хакерская группировка, спонсируемая государством и действующая с 2012 года. Изначально ее деятельность была сосредоточена на правительственном
0
3 часа
IOC

Squid Werewolf APT IOCs

security
В ходе недавней кибератаки злоумышленники использовали фишинговую электронную почту, чтобы атаковать ключевых сотрудников одной из промышленных организаций. Обнаруженная в декабре 2024 года экспертами BI.
0
1 день
IOC

Blind Eagle APT IOCs

security
Группа APT-C-36, известная также как Blind Eagle, продолжает активно атаковать колумбийские учреждения и правительственные структуры, используя уязвимость CVE-2024-43451, которая была исправлена Microsoft 12 ноября 2024 года.
0
1 день
IOC

SideWinder нацелилась на морской и ядерный секторы

security
APT-группа SideWinder продолжает активно расширять свою деятельность в морском и ядерном секторах, используя обновленный набор инструментов. В прошлом году исследователи обнаружили, что группа заражает