11/05/2023    

BOLETÍN NRO 2023-292

La campaña, que aprovecha la ingeniería social, el malware personalizado y los ataques de spear-phishing, conduce en última instancia a la implementación de NjRAT en los sistemas infectados. Se cree que el grupo Blind Eagle es un grupo de habla hispana que apunta a organizaciones del sector público y privado en Colombia, con ataques observados también en Ecuador, Chile y España.

Blind Eagle utiliza un loader de JavaScript para ejecutar un script de PowerShell alojado en Discord CDN. Esto desencadena la implementación de otro script de PowerShell, un archivo por lotes de Windows y el almacenamiento de un archivo VBScript en la carpeta de inicio de Windows, lo que permite la persistencia. El código de VBScript ejecuta el archivo por lotes, que luego ejecuta el script de PowerShell entregado anteriormente. Finalmente, el script de PowerShell se utiliza para iniciar NjRAT, una RAT que permite a los atacantes tomar el control de los sistemas comprometidos.

Los ataques de este grupo han seguido evolucionando y esta campaña tiene como objetivo múltiples entidades colombianas para ello se hacían pasar por una agencia tributaria del gobierno. La campaña se rastreó por primera vez en febrero, lo que destaca el sigilo y la persistencia del grupo. El uso de campañas de spear-phishing por parte de Blind Eagle enfatiza la importancia de la capacitación de los empleados para detectar este tipo de ataques.

Blind Eagle utiliza principalmente NjRAT, AsyncRAT, Remcos RAT, LimeRAT y QuasarRAT en sus campañas, lo que indica la preferencia del grupo por las RAT en sus operaciones. El modus operandi del grupo se ha mantenido sin cambios desde su surgimiento, lo que indica su nivel de comodidad con las campañas de spear-phishing.

Indicadores de Compromiso

Dominio

system88[.]duckdns[.]org

URL

hxxps[:]//cdn[.]discordapp[.]com/attachments/1105970610657566792/
1105973839776722965/OFICIO_EMBARGO_DIAN-PDF[.]uue

hxxp[:]//172[.]174[.]176[.]153/dll/new_rump_vb[.]net[.]txt

hxxps[:]//cdn[.]discordapp[.]com/attachments/1105970610657566792/
1105972952484298834/777[.]txt/

Hash

MD5: 319c2135f99c822e2e7a172f9896ed56

SHA-256: f86962682a031e037476ea11e8f19b584e0cb19ef80da2af997e0aa64e13b586

MD5: d4ad0a3a939fc756206fdd9bef3ee019

SHA-256: 26b04dea5db4331d936046dd5cfd46930f21f6f75a567140a78b723ea0cfa5e5

MD5: 96bd95789e305a696a7d1a5e776b9804

SHA-256: f3adace9b9f1d61d8752f65c0418a49595e347c417a17b14655d838993b74229

MD5: 113d6da8fdefb00f3f4c8e078f63a430

SHA-256: 07ecdc6af7a9b80ce2a77e57e41a14504720a1871e32fb1aa2454467b265c25e