El grupo de espionaje cibernético Blind Eagle ataca de nuevo

El actor de espionaje cibernético rastreado como Blind Eagle ha sido vinculado a una nueva cadena de ataque de múltiples etapas que conduce al despliegue del troyano de acceso remoto NjRAT en sistemas comprometidos.

"El grupo es conocido por usar una variedad de técnicas de ataque sofisticadas, que incluyen malware personalizado, tácticas de ingeniería social y ataques de spear-phishing", dijo ThreatMon en un informe del martes.

Águila Ciega, también conocida como APT-C-36, es un grupo sospechoso de habla hispana que ataca principalmente a entidades del sector público y privado en Colombia. Los ataques orquestados por el grupo también han apuntado a Ecuador, Chile y España.

Las cadenas de infección documentadas por Check Point y BlackBerry este año han revelado el uso de señuelos de spear-phishing para entregar familias de malware básico como BitRAT, AsyncRAT y cargadores Python en memoria capaces de lanzar una carga útil Meterpreter.

El último descubrimiento de ThreatMon implica el uso de un descargador de JavaScript para ejecutar un script de PowerShell alojado en Discord CDN. El script, a su vez, quita otro script de PowerShell y un archivo por lotes de Windows, y guarda un archivo VBScript en la carpeta de inicio de Windows para lograr la persistencia.


A continuación, se ejecuta el código VBScript para iniciar el archivo por lotes, que posteriormente se desofusca para ejecutar el script de PowerShell que se entregó previamente junto con él. En la etapa final, el script de PowerShell se usa para ejecutar njRAT.

"njRAT, también conocido como Bladabindi es una herramienta de acceso remoto (RAT) con interfaz de usuario o troyano que permite al titular del programa controlar la computadora del usuario final", dijo la firma de ciberseguridad.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta