사이버 보안 연구원들은 다음과 같은 위협 행위자에 대해 밝혔습니다. 블라인드 이글 콜롬비아, 에콰도르, 칠레, 파나마 등 라틴 아메리카 국가의 기관과 개인을 지속적으로 표적으로 삼았습니다.
이러한 공격의 표적에는 정부 기관, 금융 회사, 에너지, 석유 및 가스 회사 등 다양한 부문이 포함됩니다.
카스퍼스키는 월요일 보고서에서 “블라인드 이글은 사이버 공격의 목표를 형성하는 데 있어 적응력을 보여주었고 순전히 재정적 동기가 있는 공격과 간첩 작전을 전환하는 다양성을 보였다”고 밝혔습니다.
APT-C-36이라고도 불리는 Blind Eagle은 적어도 2018년부터 활동한 것으로 추정됩니다. 스페인어를 사용하는 것으로 의심되는 이 그룹은 AsyncRAT, BitRAT, Lime RAT, NjRAT, Quasar RAT, Remcos RAT와 같은 다양한 공개적으로 이용 가능한 원격 액세스 트로이 목마를 배포하기 위해 스피어 피싱 미끼를 사용하는 것으로 알려져 있습니다.
올해 3월 초, eSentire는 적대 세력이 Remcos RAT와 NjRAT를 확산하기 위해 Ande Loader라는 맬웨어 로더를 사용한 사례에 대해 자세히 설명했습니다.
시작점은 합법적인 정부 기관과 금융 및 은행 기관을 가장한 피싱 이메일로, 수신자에게 모방된 기관의 공식 웹사이트로 이동한다는 명목으로 링크를 클릭하여 긴급 조치를 취하라고 속이는 경고문구입니다.
이메일 메시지에는 동일한 URL이 포함된 PDF나 Microsoft Word 첨부 파일이 포함되어 있으며, 어떤 경우에는 긴박감을 더 강조하고 합법성의 외양을 갖추기 위한 몇 가지 추가 세부 정보가 포함되어 있습니다.
첫 번째 URL 세트는 사용자를 최초 드롭퍼를 호스팅하는 액터 제어 사이트로 안내하지만, 피해자가 그룹의 타깃 국가에 속하는지 확인한 후에만 안내합니다. 그렇지 않으면 공격자가 사칭하는 조직의 사이트로 안내합니다.
“이러한 지리적 리디렉션은 새로운 악성 사이트가 플래그 지정되는 것을 방지하고 이러한 공격에 대한 사냥과 분석을 방해합니다.”라고 러시아 사이버 보안 공급업체가 말했습니다.
초기 드롭퍼는 압축된 ZIP 아카이브 형태로 제공되며, 이는 하드코딩된 원격 서버에서 다음 단계 페이로드를 검색하는 Visual Basic Script(VBS)를 포함합니다. 이러한 서버는 이미지 호스팅 사이트부터 Pastebin, Discord 및 GitHub과 같은 합법적인 서비스에 이르기까지 다양합니다.
2단계 맬웨어는 종종 스테가노그래피 방법을 사용하여 난독화되며, DLL이나 .NET 인젝터로, 이후 또 다른 악성 서버에 연결하여 최종 단계 트로이 목마를 검색합니다.
카스퍼스키는 “이 그룹은 종종 프로세스 주입 기술을 사용하여 합법적인 프로세스의 메모리에서 RAT를 실행하고, 이를 통해 프로세스 기반 방어를 회피합니다.”라고 밝혔습니다.
“그룹이 선호하는 기술은 프로세스 홀로잉입니다. 이 기술은 일시 중단된 상태에서 합법적인 프로세스를 만든 다음 메모리를 언매핑하고 악성 페이로드로 대체한 다음 마지막으로 프로세스를 재개하여 실행을 시작하는 것입니다.”
오픈소스 RAT의 수정된 버전을 사용하면 Blind Eagle은 원하는 대로 캠페인을 수정하여 사이버 스파이 활동에 사용하거나, 창 제목이 맬웨어에 사전 정의된 문자열 목록과 일치하는 경우 피해자의 브라우저에서 콜롬비아 금융 서비스의 자격 증명을 수집할 수 있는 유연성을 얻습니다.
반면, NjRAT의 변경된 버전은 키로깅 및 스크린샷 캡처 기능을 장착하여 민감한 정보를 수집하는 것으로 관찰되었습니다. 또한 업데이트된 버전은 기능을 증강하기 위해 서버에서 보낸 추가 플러그인을 설치하는 것을 지원합니다.
이러한 변화는 공격 체인에도 적용됩니다. 최근 2024년 6월, AsyncRAT은 Hijack Loader라는 맬웨어 로더를 통해 배포되었으며, 이는 위협 행위자의 높은 수준의 적응성을 시사합니다. 또한 운영을 유지하기 위한 새로운 기술의 추가를 강조하는 역할도 합니다.
“BlindEagle의 기술과 절차가 아무리 간단해 보여도, 그 효과성 덕분에 이 그룹은 높은 수준의 활동을 유지할 수 있습니다.” 카스퍼스키는 결론지었습니다. “Blind Eagle은 사이버 스파이 활동과 금융 신원 도용 캠페인을 지속적으로 실행함으로써 이 지역에서 여전히 상당한 위협으로 남아 있습니다.
