瑞星捕获BlindEagle组织针对哥伦比亚发起的APT攻击
近日,瑞星威胁情报平台捕获一起针对哥伦比亚地区的APT攻击事件,通过与以往感染链的对比分析发现,此次事件的攻击者为BlindEagle组织。该组织将伪装成参加法外调解听证会通知的钓鱼邮件发送给受害者,以此诱导受害者点击邮件附件,从而下载远控后门程序,达到窃取隐私信息的目的。目前,瑞星ESM防病毒终端安全防护系统已可检测并查杀该类恶意程序,广大用户可使用以抵御风险。
图:瑞星ESM防病毒终端安全防护系统可查杀相应远控后门
瑞星安全专家介绍,BlindEagle(APT-C-36)是一个疑似来自南美洲的APT组织,主要攻击目标为哥伦比亚境内,以及南美一些地区。该组织自2018年以来一直活跃,攻击范围主要针对哥伦比亚政府机构、金融部门、石油工业和专业制造业等重要企业。
在此次攻击事件中,BlindEagle组织向目标用户发送一封通知参加法外调解听证会的钓鱼邮件,而该邮件的附件为一个加密的压缩包,一旦用户按照邮件提示输入了密码进行解压,便会从攻击者的远程服务器下载一个DLL文件,该DLL文件可以在受害者电脑里实现持久化,并隐藏自身。
图:伪装成法外调解听证会通知的钓鱼邮件
而后,第一个DLL文件会继续下载另一个DLL文件及AsyncRAT后门程序,第二个DLL则会把该后门注入到正常的系统程序中执行,以此对受害者主机进行键盘记录、回传文件、远程控制等恶意操作。
麦青儿 最后编辑于 2023-09-05 17:09:03
