Οι χάκερ της BlindEagle επιτίθενται σε κυβερνητικές υπηρεσίες με σενάρια Powershell

Η BlindEagle, μια ομάδα απειλών της Νότιας Αμερικής, έχει ξεκινήσει μια εξελιγμένη εκστρατεία κατά των κρατικών υπηρεσιών της Κολομβίας, επιδεικνύοντας μια ανησυχητική εξέλιξη στις τεχνικές επίθεσης.

Στις αρχές Σεπτεμβρίου 2025, η ομάδα στόχευσε μια κυβερνητική υπηρεσία υπό το Υπουργείο Εμπορίου, Βιομηχανίας και Τουρισμού (MCIT) χρησιμοποιώντας συντονισμένα μηνύματα ηλεκτρονικού ψαρέματος και παράδοση κακόβουλου λογισμικού σε πολλαπλά στάδια.

Αυτή η επίθεση αντιπροσωπεύει μια σημαντική κλιμάκωση της πολυπλοκότητας και της πολυπλοκότητας των λειτουργιών του BlindEagle, περνώντας πέρα ​​από την ανάπτυξη βασικού κακόβουλου λογισμικού σε μια προσεκτικά ενορχηστρωμένη αλυσίδα που περιλαμβάνει πολλά κακόβουλα στοιχεία.

Η επίθεση ξεκινά με ένα στρατηγικά κατασκευασμένο ηλεκτρονικό μήνυμα ηλεκτρονικού ψαρέματος που υποδύεται το δικαστικό σύστημα της Κολομβίας.

Το μήνυμα ηλεκτρονικού ταχυδρομείου χρησιμοποιεί νομική ορολογία και επίσημη κρατική μορφοποίηση για να δημιουργήσει μια αίσθηση επείγοντος, πιέζοντας τους παραλήπτες να επιβεβαιώσουν τη λήψη μιας ειδοποίησης εργατικής αγωγής.

Είναι αξιοσημείωτο ότι το ηλεκτρονικό μήνυμα ηλεκτρονικού ψαρέματος στάλθηκε από έναν παραβιασμένο λογαριασμό στον ίδιο οργανισμό, προσδίδοντας αξιοπιστία στο μήνυμα και παρακάμπτοντας τα συμβατικά μέτρα ασφαλείας email.

Αυτός ο εσωτερικός συμβιβασμός επέτρεψε στους εισβολείς να εκμεταλλευτούν σχέσεις εμπιστοσύνης και να αποφύγουν τον εντοπισμό από πρωτόκολλα ασφαλείας που συνήθως επισημαίνουν εξωτερικές απειλές.

Αναλυτές της Zscaler αναγνωρισθείς την πλήρη αλυσίδα επίθεσης και διαπίστωσε ότι το BlindEagle χρησιμοποίησε μια ασυνήθιστα πολύπλοκη μεθοδολογία χωρίς αρχεία για να αποφύγει τα συστήματα ανίχνευσης.

Το αρχικό συνημμένο είναι μια εικόνα SVG (Scalable Vector Graphics) που περιέχει κωδικοποιημένο HTML που κατευθύνει τους χρήστες σε μια δόλια διαδικτυακή πύλη που μιμείται το νόμιμο δικαστικό τμήμα της Κολομβίας.

Μόλις ένας χρήστης αλληλεπιδράσει με αυτήν την πύλη, η αλυσίδα επίθεσης ξετυλίγεται μέσω τριών αρχείων JavaScript και μιας εντολής PowerShell, κάθε στάδιο προοδευτικά αποσυμφορεί το επόμενο στοιχείο μέσω διαφόρων τεχνικών κωδικοποίησης, συμπεριλαμβανομένων των Base64 και προσαρμοσμένων αλγορίθμων συσκότισης.

Μηχανισμός μόλυνσης

Ο μηχανισμός μόλυνσης επιδεικνύει ιδιαίτερη πολυπλοκότητα μέσω της χρήσης στεγανογραφίας και νόμιμων υπηρεσιών για την παράδοση ωφέλιμου φορτίου.

Τα αρχεία JavaScript στην αλυσίδα επίθεσης χρησιμοποιούν περίπλοκες ρουτίνες αποσύμπλεξης όπου οι ακέραιοι πίνακες μετατρέπονται σε εκτελέσιμο κώδικα.

Η εντολή PowerShell πραγματοποιεί λήψη ενός αρχείου εικόνας από το Internet Archive, εξάγει ένα κακόβουλο ωφέλιμο φορτίο με κωδικοποίηση Base64 που είναι κρυμμένο μέσα σε αυτό και φορτώνει το ωφέλιμο φορτίο απευθείας στη μνήμη χρησιμοποιώντας ανάκλαση .NET.

Αυτή η εκτέλεση στη μνήμη εμποδίζει οποιοδήποτε κακόβουλο αρχείο να αγγίξει το δίσκο, περιπλέκοντας σημαντικά τις προσπάθειες ανίχνευσης για παραδοσιακές λύσεις ασφαλείας που βασίζονται σε αρχεία.

Το σενάριο PowerShell εκτελεί το Caminho, ένα κακόβουλο λογισμικό λήψης με τεχνουργήματα πορτογαλικής γλώσσας στον κώδικά του, το οποίο στη συνέχεια ανακτά το DCRAT μέσω του δικτύου παράδοσης περιεχομένου του Discord.

Το DCRAT περιλαμβάνει προηγμένες δυνατότητες φοροδιαφυγής, ιδίως την επιδιόρθωση της διεπαφής σάρωσης προστασίας από κακόβουλο λογισμικό (AMSI) της Microsoft για την απενεργοποίηση των μηχανισμών ανίχνευσης.

Το κακόβουλο λογισμικό δημιουργεί επιμονή μέσω προγραμματισμένων εργασιών και τροποποιήσεων μητρώου, παρέχοντας στους εισβολείς διαρκή πρόσβαση σε παραβιασμένα συστήματα.

Αυτή η καμπάνια παρουσιάζει την ωρίμανση του BlindEagle ως παράγοντα απειλής, συνδυάζοντας την τεχνογνωσία της κοινωνικής μηχανικής με την τεχνική επάρκεια στη συσκότιση, τη στεγανογραφία και τη νόμιμη κατάχρηση υπηρεσιών για τη διεξαγωγή στοχευμένων επιθέσεων κατά της κρατικής υποδομής με ελάχιστο κίνδυνο ανίχνευσης.