{"id":14456,"date":"2024-10-08T14:43:19","date_gmt":"2024-10-08T19:43:19","guid":{"rendered":"https:\/\/syspertec.com.co\/web\/?p=14456"},"modified":"2024-10-08T14:43:29","modified_gmt":"2024-10-08T19:43:29","slug":"kaspersky-identifica-nuevo-plugin-espia-de-blindeagle","status":"publish","type":"post","link":"https:\/\/syspertec.com.co\/web\/kaspersky-identifica-nuevo-plugin-espia-de-blindeagle\/","title":{"rendered":"Kaspersky identifica nuevo plugin esp\u00eda de BlindEagle"},"content":{"rendered":"\n

Octubre de 2024<\/p>\n\n\n\n

El grupo BlindEagle APT (Amenaza Avanzada Persistente, por sus siglas en ingl\u00e9s) ha introducido varias actualizaciones en una de sus \u00faltimas campa\u00f1as de espionaje dirigidas a usuarios y organizaciones de Colombia, seg\u00fan ha informado el equipo de Investigaci\u00f3n y An\u00e1lisis Global de Kaspersky (GReAT). Las actualizaciones incluyen un nuevo plugin de espionaje y el uso de sitios brasile\u00f1os leg\u00edtimos de alojamiento de archivos durante el proceso de infecci\u00f3n. El grupo est\u00e1 incluyendo cada vez m\u00e1s archivos en portugu\u00e9s en su c\u00f3digo malicioso, mientras que antes utilizaba predominantemente el espa\u00f1ol. Kaspersky tambi\u00e9n ha observado que BlindEagle ha lanzado otra campa\u00f1a que emplea la t\u00e9cnica DLL sideloading, poco habitual en el grupo.<\/strong><\/p>\n\n\n\n

Este grupo, conocido desde 2018, ha evolucionado recientemente en sus m\u00e9todos de espionaje. Tras alternar entre diferentes troyanos de acceso remoto (RAT) de c\u00f3digo abierto, el actor de la amenaza ha elegido njRAT como su herramienta principal en una de las \u00faltimas campa\u00f1as de mayo de 2024. Este malware permite el registro de pulsaciones de teclas, el acceso a la c\u00e1mara web, el robo de detalles del equipo, capturas de pantalla, la monitorizaci\u00f3n de aplicaciones y otras actividades de espionaje, pero se ha actualizado con capacidades de ataque adicionales: el troyano ahora admite una extensi\u00f3n de plugin especial que permite la ejecuci\u00f3n de binarios y archivos .NET. El alcance potencial de este plugin incluye la ejecuci\u00f3n de m\u00f3dulos de espionaje adicionales y la recopilaci\u00f3n de informaci\u00f3n m\u00e1s sensible.<\/p>\n\n\n\n

\u201cEl impacto real de esta actualizaci\u00f3n a\u00fan est\u00e1 por verse. Los actores de la amenaza pueden tener como objetivo una amplia gama de informaci\u00f3n sensible. En campa\u00f1as anteriores, el grupo ha utilizado m\u00f3dulos para filtrar la ubicaci\u00f3n de la v\u00edctima, obtener informaci\u00f3n detallada del sistema, como las aplicaciones instaladas, desactivar las soluciones de ciberseguridad e inyectar cargas \u00fatiles maliciosas como Meterpreter\u201d,<\/em> explica Leandro Cuozzo, analista de Seguridad en el Equipo Global de Investigaci\u00f3n y An\u00e1lisis para Am\u00e9rica Latina en Kaspersky.<\/strong><\/p>\n\n\n\n

Nuevo proceso de infecci\u00f3n y tendencia creciente a utilizar el c\u00f3digo malicioso en portugu\u00e9s<\/strong><\/p>\n\n\n\n

Para distribuir el malware y el nuevo plugin, los atacantes infectan primero el sistema mediante phishing selectivo. Env\u00edan correos electr\u00f3nicos haci\u00e9ndose pasar por una entidad gubernamental, notificando a las v\u00edctimas de una falsa multa de tr\u00e1fico. El correo electr\u00f3nico incluye un archivo adjunto malicioso que parece ser un PDF, pero en realidad es un Visual Basic Script (VBS) malicioso que descarga un malware esp\u00eda en el equipo de la v\u00edctima en una serie de acciones.<\/p>\n\n\n\n

En esta campa\u00f1a, los investigadores de Kaspersky observaron que el dropper contiene cada vez m\u00e1s archivos en portugu\u00e9s, sobre todo en variables, nombres de funciones y comentarios.<\/p>\n\n\n\n

\u201cHay una tendencia creciente de BlindEagle a utilizar el portugu\u00e9s, lo que sugiere que el grupo est\u00e1 posiblemente colaborando con actores de amenazas externos. Anteriormente, el espa\u00f1ol predominaba en sus artefactos, pero en las campa\u00f1as del a\u00f1o pasado, el grupo empez\u00f3 a utilizar cada vez m\u00e1s algunas funciones y nombres de variables en portugu\u00e9s. En esta campa\u00f1a, este idioma se utiliza ampliamente. Adem\u00e1s de utilizarlo, el grupo ha empezado a utilizar dominios brasile\u00f1os para la carga de malware en varias fases, lo que apoya la teor\u00eda de que pueden estar trabajando con alguien ajeno al ‘equipo’\u201d,<\/em> explica Leandro Cuozzo.<\/strong><\/p>\n\n\n\n

El grupo utiliz\u00f3 un sitio brasile\u00f1o de alojamiento de im\u00e1genes para colocar el c\u00f3digo malicioso en las m\u00e1quinas de las v\u00edctimas. Anteriormente, utilizaban servicios como Discord o Google Drive. El script malicioso ejecuta un comando para descargar im\u00e1genes del sitio de alojamiento reci\u00e9n empleado, que contienen c\u00f3digo malicioso que se extrae y ejecuta en el equipo de la v\u00edctima.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Una de las im\u00e1genes con c\u00f3digo oculto descargada en los equipos de las v\u00edctimas<\/em><\/p>\n\n\n\n

\u201cEn el panorama digital actual, en r\u00e1pida evoluci\u00f3n, la proliferaci\u00f3n de sofisticadas campa\u00f1as de ciberespionaje subraya la necesidad cr\u00edtica de que las organizaciones y los individuos se mantengan siempre alerta y se fortalezcan frente a las amenazas emergentes\u201d,<\/em> afirma Leandro Cuozzo<\/strong>. \u201cLa continua evoluci\u00f3n de las t\u00e1cticas maliciosas exige un enfoque proactivo de la ciberseguridad. Esto incluye aprovechar la inteligencia robusta de amenazas y las tecnolog\u00edas de detecci\u00f3n a la vanguardia, as\u00ed como fomentar una cultura de ciberconciencia y resiliencia\u201d.<\/em><\/p>\n\n\n\n

Kaspersky tambi\u00e9n observ\u00f3 que BlindEagle lanz\u00f3 otra campa\u00f1a en junio de 2024, empleando la t\u00e9cnica DLL sideloading, un m\u00e9todo utilizado para ejecutar c\u00f3digo malicioso a trav\u00e9s de las bibliotecas de v\u00ednculos din\u00e1micos (DLL) de Windows, que no es habitual en este tipo de amenazas. Como vector inicial, el grupo enviaba supuestos \u201cdocumentos\u201d que en realidad eran archivos PDF o DOCX maliciosos, y enga\u00f1aba a las v\u00edctimas para que hicieran clic en enlaces incrustados para descargar documentos ficticios de demandas judiciales. Estos documentos eran archivos ZIP que conten\u00edan un ejecutable que iniciaba la infecci\u00f3n mediante carga lateral, junto con varios archivos maliciosos utilizados en la cadena de ataque. Los autores de la amenaza eligieron una versi\u00f3n de AsyncRAT utilizada anteriormente en varias campa\u00f1as.<\/p>\n\n\n\n

BlindEagle (tambi\u00e9n conocido como APT-C-36) es un grupo APT conocido por sus t\u00e9cnicas y m\u00e9todos de ataque simples pero eficaces. El grupo es conocido por sus campa\u00f1as persistentes dirigidas a organizaciones y a usuarios individuales en Colombia, Ecuador y otros pa\u00edses de Latinoam\u00e9rica. Se han dirigido a entidades de m\u00faltiples sectores, incluyendo instituciones gubernamentales, organizaciones de energ\u00eda y petr\u00f3leo y gas, empresas financieras, entre otros. Conocido por utilizar de forma rotativa diferentes RAT de c\u00f3digo abierto, como njRAT, Lime-RAT o BitRAT, el objetivo principal del grupo es espiar a las v\u00edctimas y robar informaci\u00f3n financiera. Demuestra adaptabilidad a la hora de configurar los objetivos de sus ciberataques y ha demostrado versatilidad para moverse entre los ataques estrictamente financieros y las operaciones de espionaje. <\/p>\n\n\n\n

En las campa\u00f1as de espionaje llevadas a cabo en mayo y junio, el 87% de las personas y organizaciones objetivo se encontraban en Colombia, especialmente en los sectores de la administraci\u00f3n p\u00fablica, educaci\u00f3n, salud y transporte, aunque sin limitarse a ellos.<\/p>\n\n\n\n

Para permanecer protegido frente a la amenaza, los investigadores recomiendan seguir estas reglas:<\/p>\n\n\n\n