Tehdit oyuncusu olarak bilinen Kör kartal Kasım 2024’ten bu yana Kolombiya kurumlarını ve devlet kuruluşlarını hedefleyen bir dizi kampanyayla bağlantılıdır.
“İzlenen kampanyalar, Kolombiyalı yargı kurumlarını ve diğer hükümet veya özel kuruluşları, yüksek enfeksiyon oranlarına sahip,” söz konusu yeni bir analizde.
“19 Aralık 2024 civarında gerçekleşen bu kampanyalardan biri sırasında 1.600’den fazla kurban etkilendi. Bu enfeksiyon oranı Blind Eagle’ın hedefli APT yaklaşımı göz önüne alındığında önemlidir.”
En az 2018’den beri aktif olan Blind Eagle, Aguilaciega, Apt-C-36 ve Apt-Q-98 olarak da izlenir. Güney Amerika’daki, özellikle Kolombiya ve Ekvador’daki varlıkların hiper spesifik hedeflemesi ile bilinir.
Tehdit oyuncusu tarafından düzenlenen saldırı zincirleri, hedef sistemlere ilk erişim elde etmek ve sonuçta Asyncrat, NJrat, Quasar Rat ve Remcos Rat gibi uzaktan erişim trojanlarını bırakmak için genellikle mızrak aktı e-postaları şeklinde sosyal mühendislik taktiklerinin kullanılmasını gerektirir.
En son müdahaleler seti üç nedenden dolayı dikkat çekicidir: şimdi paylaşılmış bir Microsoft Windows kusurları (CVE-2024-43451) için bir istismarın kullanımı, HeartCrypt adı verilen yeni bir Packer-a-Service (PaaS) ve BitBucket ve Github ile Dağıtımın Dağıtımının, Google ve Dropbox aracılığıyla benimsenmesi.
Özellikle, HeartCrypt, daha sonra, şu anda kaldırılmış bir Bitbucket veya GitHub deposunda barındırılan Remcos Rat kötü amaçlı yazılımını piyasaya sürülmesinden sorumlu olan bir Purecrypter varyantı olan kötü amaçlı yürütülebilir dosyayı korumak için kullanılır.
CVE-2024-43451, Kasım 2024’te Microsoft tarafından sabitlenen bir NTLMV2 karma açıklama kırılganlığına atıfta bulunur. Kontrol noktası başına, bu istismarın bir varyantını, yamanın piyasaya sürülmesinden altı gün sonra, kötü niyetli bir klikilişe neden olan, enfeksiyonu sağlayan bir kansere neden olan bir varyantın, bir varyantını dahil etti.
Siber güvenlik şirketi, “Bu varyant aslında NTLMV2 karma durumunu ortaya çıkarmasa da, tehdit aktörlerine dosyanın aynı alışılmadık kullanıcı dosya etkileşimleri tarafından indirildiğini bildiriyor.” Dedi.
“CVE-2024-43451’e karşı savunmasız cihazlarda, kullanıcı aynı olağandışı davranışla dosya ile manuel olarak etkileşime girmeden önce bile bir WebDAV isteği tetiklenir. Bu arada, hem yamalı hem de açılmamış sistemlerde, kötü niyetli.
Check Point, “hızlı yanıt” ın grubun teknik uzmanlığını ve gelişen güvenlik savunmaları karşısında yeni saldırı yöntemlerini uyarlama ve takip etme yeteneğini vurgulamaya hizmet ettiğine dikkat çekti.
Tehdit oyuncusunun kökenleri için sigara silahı olarak hizmet etmek, tehdit aktörünün UTC-5 saat diliminde faaliyet gösterdiğini ve birkaç Güney Amerika ülkesiyle hizalanan GitHub deposudur.
Hepsi bu değil. Operasyonel bir hata gibi görünen bir şeyde, depo taahhüt geçmişinin bir analizi, 1.634 benzersiz e-posta adresine sahip hesap-password çiftleri içeren bir dosyayı ortaya çıkarmıştır.
“Ver Datos del Formulario.html” olarak adlandırılan HTML dosyası, 25 Şubat 2025’teki depodan silinmiş olsa da, bireyler, devlet kurumları, eğitim kurumları ve işletmelerle ilişkili kullanıcı adları, şifreler, e -posta, e -posta şifreleri ve ATM pinleri gibi ayrıntıları içerdiği bulunmuştur.
Check Point, “Başarısında önemli bir faktör, Google Drive, Dropbox, Bitbucket ve GitHub da dahil olmak üzere meşru dosya paylaşım platformlarından yararlanma yeteneğidir ve geleneksel güvenlik önlemlerini atlamasına ve kötü amaçlı yazılımları gizli bir şekilde dağıtmasına izin verir.” Dedi.
“Ek olarak, Remcos Rat, HeartCrypt ve Purecrypter gibi yeraltı Kırım Araçlarının kullanımı, siber suçlu ekosisteme derin bağlarını güçlendirerek sofistike kaçınma tekniklerine ve kalıcı erişim yöntemlerine erişim sağlıyor.”
