L’acteur de cyberespionnage suivi comme Aigle aveugle a été lié à une nouvelle chaîne d’attaque en plusieurs étapes qui conduit au déploiement du cheval de Troie d’accès à distance NjRAT sur les systèmes compromis.
“Le groupe est connu pour utiliser une variété de techniques d’attaque sophistiquées, y compris des logiciels malveillants personnalisés, des tactiques d’ingénierie sociale et des attaques de harponnage”, ThreatMon a dit dans un rapport de mardi.
Blind Eagle, également appelé APT-C-36, est un groupe présumé hispanophone qui frappe principalement des entités des secteurs privé et public en Colombie. Les attaques orchestrées par le groupe ont également visé l’Équateur, le Chili et l’Espagne.
Les chaînes d’infection documentées par Check Point et BlackBerry cette année ont révélé l’utilisation de leurres de harponnage pour fournir des familles de logiciels malveillants de base comme BitRAT, AsyncRAT et des chargeurs Python en mémoire capables de lancer une charge utile Meterpreter.
La dernière découverte de ThreatMon implique l’utilisation d’un téléchargeur JavaScript pour exécuter un script PowerShell hébergé dans Discord CDN. Le script, à son tour, dépose un autre script PowerShell et un fichier de commandes Windows, et enregistre un fichier VBScript dans le dossier de démarrage de Windows pour atteindre la persévérance.
Le code VBScript est ensuite exécuté pour lancer le fichier de commandes, qui est ensuite désobscurci pour exécuter le script PowerShell qui a été précédemment livré avec lui. Dans la dernière étape, le script PowerShell est utilisé pour exécuter njRAT.
“njRAT, également connu sous le nom de Bladabindi est un outil d’accès à distance (RAT) avec interface utilisateur ou cheval de Troie qui permet au détenteur du programme de contrôler l’ordinateur de l’utilisateur final”, a déclaré la société de cybersécurité.