Hackers BlindEagle επιτίθενται σε οργανισμό για κατάχρηση εμπιστοσύνης και παράκαμψη των ελέγχων ασφαλείας email

Σε μια εξελιγμένη εκστρατεία κατασκοπείας στον κυβερνοχώρο, ο ηθοποιός απειλών BlindEagle στόχευσε για άλλη μια φορά κολομβιανούς κυβερνητικούς θεσμούς.

Αυτή η πιο πρόσφατη λειτουργία αφορούσε συγκεκριμένα μια υπηρεσία υπό το Υπουργείο Εμπορίου, Βιομηχανίας και Τουρισμού, αξιοποιώντας μια εξαιρετικά αποτελεσματική στρατηγική για την παράκαμψη των τυπικών πρωτοκόλλων ασφαλείας email.

Διακυβεύοντας έναν εσωτερικό λογαριασμό email εντός του οργανισμού-στόχου, οι εισβολείς έστειλαν μηνύματα ηλεκτρονικού ψαρέματος που φαινόταν να προέρχονται από μια νόμιμη εσωτερική πηγή.

Αυτή η μέθοδος τους επέτρεψε να παρακάμψουν τους ελέγχους SPF, DKIM και DMARC, διασφαλίζοντας ότι τα κακόβουλα μηνύματα έφτασαν στα επιδιωκόμενα θύματά τους χωρίς να ενεργοποιούν συναγερμούς.

Τα μηνύματα ηλεκτρονικού ψαρέματος δημιουργήθηκαν για να μιμούνται επίσημες ειδοποιήσεις από το δικαστικό τμήμα της Κολομβίας και αναφέρονταν σε κατασκευασμένη εργατική αγωγή.

Σχεδιασμένα για να ενσταλάξουν τον επείγοντα χαρακτήρα και τον φόβο, τα μηνύματα απειλούσαν νομικά μέτρα για να πιέσουν τους παραλήπτες να κατεβάσουν μια συνημμένη εικόνα SVG.

Αυτή η τακτική κοινωνικής μηχανικής παρέσυρε αποτελεσματικά τα θύματα να ξεκινήσουν τη διαδικασία μόλυνσης.

Μετά από αυτόν τον αρχικό συμβιβασμό, οι αναλυτές της Zscaler διάσημος ότι η αλυσίδα επίθεσης είναι αξιοσημείωτα πολύπλοκη, χρησιμοποιώντας πολλαπλά επίπεδα συσκότισης και νόμιμες υπηρεσίες web για να κρύψει τις δραστηριότητές της.

Όταν ένα θύμα αλληλεπιδρά με το συνημμένο SVG, ανακατευθύνεται σε μια δόλια διαδικτυακή πύλη που μοιάζει πολύ με μια νόμιμη κυβερνητική τοποθεσία.

Αυτή η πύλη παραδίδει αυτόματα ένα κακόβουλο αρχείο JavaScript, ενεργοποιώντας μια ακολουθία μόλυνσης χωρίς αρχείο που βασίζεται στην εκτέλεση στη μνήμη για να αποφύγει τον εντοπισμό από παραδοσιακές λύσεις προστασίας από ιούς.

Μηχανισμός μόλυνσης

Ο μηχανισμός μόλυνσης είναι μια διαδικασία πολλαπλών σταδίων που περιλαμβάνει ένθετα σενάρια και στεγανογραφία. Τα αρχικά αποσπάσματα JavaScript αποσυμφορούν τα επόμενα ωφέλιμα φορτία χρησιμοποιώντας έναν προσαρμοσμένο αλγόριθμο.

Όπως φαίνεται στο απόσπασμα κώδικα παρακάτω, το κακόβουλο λογισμικό αναδομεί τον εκτελέσιμο κώδικα επεξεργάζοντας πίνακες ακεραίων για να δημιουργήσει το επόμενο στάδιο.

def deobfuscate(obf_code: List[int], step: int) -> str:
   deobf_code = ""
   for i in obf_code:
       c = int_to_char(i - step)
       deobf_code += c
   return deobf_code

Αυτή η ακολουθία εκτελεί τελικά μια εντολή PowerShell μέσω των οργάνων διαχείρισης των Windows, όπως περιγράφεται στην αποκωδικοποιημένη εντολή BlindEagle PowerShell.

Αυτή η εντολή ανακτά μια εικόνα PNG από το Αρχείο Διαδικτύου που περιέχει ένα κρυφό ωφέλιμο φορτίο. Το ωφέλιμο φορτίο είναι το πρόγραμμα λήψης Caminho, μια παραλλαγή κακόβουλου λογισμικού πορτογαλικής προέλευσης, όπως αποδεικνύεται από εσωτερικά ονόματα ορισμάτων όπως το “caminho”.

Αυτό το συγκεκριμένο πρόγραμμα λήψης έχει σχεδιαστεί για να ανακτά το τελικό ωφέλιμο φορτίο από μια διεύθυνση URL CDN του Discord, συγκεκριμένα ένα αρχείο κειμένου με το όνομα AGT27.txt. Στη συνέχεια, ο Caminho συνδέεται με τη διεύθυνση URL και αποκωδικοποιεί το αρχείο στη μνήμη.

Τέλος, ο Trojan απομακρυσμένης πρόσβασης DCRAT εγχύεται σε μια διαδικασία MSBuild.exe που έχει κενωθεί. Αυτό το τελευταίο βήμα παρέχει στους εισβολείς εκτεταμένες δυνατότητες, συμπεριλαμβανομένης της καταγραφής πλήκτρων και της εξαγωγής δεδομένων, παρέχοντάς τους πλήρη έλεγχο του παραβιασμένου συστήματος ενώ κρύβονται σε μια αξιόπιστη διαδικασία των Windows.