Blind Eagle усложнила фишинговые атаки с Remcos и Hijackloader

APT-C-36 (Blind Eagle) усилила атаки в Colombia: в фишинговой кампании применяют SVG, WScript.exe и Remcos

Группа APT-C-36, также известная как Blind Eagle, заметно изменила тактику атак, особенно в Colombia. В новой кампании злоумышленники по-прежнему делают ставку на phishing как на начальный вектор проникновения, однако теперь используют более сложную цепочку заражения с файлами SVG, встроенным JavaScript и зашифрованным loader.

По данным отчета, это развитие методик указывает на рост технической зрелости группы. Если ранее вредоносные payloads часто доставлялись через прямые ссылки, то теперь SVG-файлы содержат зашифрованный loader, который активируется при взаимодействии жертвы с документом. Для расшифровки и запуска payload используется script, сгенерированный с помощью artificial intelligence.

Фокус на финансовом секторе

Содержимое phishing-писем указывает на целевую ориентацию на сотрудников финансового сектора. Имена файлов SVG и встроенный контент связаны с темами банковских операций, что говорит о продуманной социальной инженерии.

Отдельно отмечается, что новая схема не требует подключения к internet для запуска вредоносной цепочки, что делает атаку более устойчивой и менее заметной для защитных решений.

Как работает атака

После открытия SVG встроенный JavaScript использует WScript.exe в системах Windows. Чтобы скрыть вредоносную природу кода, скрипт применяет различные techniques of obfuscation, включая шестнадцатеричные строки.

Далее сценарий:

• записывает payload PowerShell в переменную среды пользователя INTERNAL_IO_CACHE;
• запускает его через Windows Management Instrumentation (WMI);
• стремится обеспечить stealth за счет удаления следов после выполнения.

В составе payload обнаружена вредоносная библиотека Qt5Network.dll вместе с сжатыми и зашифрованными data files. В совокупности они функционируют как Hijackloader — loader, который группа использует регулярно.

Архитектура Hijackloader позволяет выполнять modular operations и multiple injections, а конечная payload доставляется в legitimate program — PlaneMon.exe — в каталог %ALLUSERSPROFILE%.

Финальная нагрузка: Remcos

Конечный вредоносный код в этой кампании — это Remcos, remote access trojan, изначально созданный для legitimate remote administration, но давно используемый cybercriminals.

В данном случае атакующие применили версию 6.1.2 Pro Remcos. При запуске она расшифровывает свою configuration из PE resource file. В ней содержатся:

• домены управления C2;
• идентификаторы жертв;
• механизмы выполнения операций, включая запуск команд;
• сбор информации о системе;
• audio surveillance.

Начальный packet данных, отправляемый на C2 server, передает ключевую информацию о пользователе, включая имя пользователя системы, характеристики CPU и версию OS.

Эволюция тактик и риски для целевых регионов

Анализ показывает, что методы APT-C-36 в целом соответствуют предыдущим инцидентам, связанным с этой группой. Однако использование script, сгенерированных с помощью artificial intelligence, выглядит как важный технический шаг вперед. По оценке исследователей, это, вероятно, сокращает время разработки и позволяет злоумышленникам чаще проводить атаки и повышать их сложность.

На этом фоне пользователям в целевых регионах, особенно сотрудникам уязвимых отраслей, рекомендуется усилить меры cybersecurity. В первую очередь это касается организаций, где phishing-атаки с тематикой банковских операций могут выглядеть убедительно и привести к компрометации рабочих станций.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Blind Eagle усложнила фишинговые атаки с Remcos и Hijackloader".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.