BlindEagle, también conocido como APT-C-36, es un grupo de amenazas reconocido por emplear técnicas y metodologías de ataque sencillas pero efectivas. El grupo ha llevado a cabo ataques persistentes dirigidos a entidades e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina. Dentro de sus objetivos se han encontrado entidades de múltiples sectores, incluyendo instituciones gubernamentales, empresas financieras, organizaciones de energía y petróleo, entre otras.
BlindEagle también ha demostrado adaptabilidad para la definición de los objetivos finales de sus campañas, moviéndose entre ataques puramente financieros y operaciones de espionaje.
Existe evidencia de que el grupo se encuentra activo desde por lo menos el año 2018. En GReAT, hemos estado monitoreando sus campañas de cerca durante los últimos años. Es por eso que hemos decidido publicar este blog a manera de presentarles BlindEagle, describir sus TTP y brindarles detalles acerca de sus últimas campañas.
Pescando a su presa
El método de propagación utilizado por BlindEagle es a través de correos electrónicos de phishing. Dependiendo del tipo de operación cibernética que realicen, utilizan una técnica de phishing particular. Por ejemplo, en caso de ataques de espionaje dirigidos, el grupo utiliza spear phishing, mientras que en ataques financieros utilizan correos de phishing más generalizados.
Estos correos electrónicos suelen suplantar la identidad de instituciones gubernamentales, como la Dirección de Impuestos y Aduanas Nacionales de Colombia, el Ministerio de Relaciones Exteriores de Colombia o la Fiscalía General de la Nación, entre otros. Aunque también es común que el grupo suplante a entidades financieras y bancarias.
Correo de Phishing Suplantando a la Fiscalía General de la Nación de Colombia
Las campañas de phishing empleadas por BlindEagle consisten en enviar correos electrónicos engañosos que contienen una notificación sobre un problema, por lo general de índole legal, que requiere una acción inmediata por parte del usuario. Cada uno de los correos incluye un enlace que simula ser el sitio web oficial de la entidad suplantada, y un archivo adjunto (particularmente documentos PDF o Word) que apunta a la misma URL. Los archivos adjuntos replican el contenido del correo electrónico, agregando detalles adicionales y un mayor sentido de urgencia para hacer más convincente al phishing. Los enlaces redirigen a las víctimas a repositorios públicos o sitios controlados por los atacantes donde alojan sus implantes de malware (en este punto del ataque, el bien conocidos “dropper inicial”).
Uno de los aspectos distintivos en esta etapa inicial, es el filtrado por geolocalización. El grupo a menudo utiliza acortadores de URL que son capaces de detectar y redirigir a quien ingresa un enlace según su ubicación geográfica. Esto significa que, si se detecta que la conexión proviene de un país que no se encuentra dentro del objetivo, el ataque se detiene y la víctima es redirigida a un sitio legítimo de la organización suplantada. Esta redirección geográfica previene que los sitios maliciosos usados por los atacantes sean detectados rápidamente y el análisis del ataque sea más dificultoso.
¿Cómo atacan las águilas?
Una vez que el correo de phishing es entregado, el grupo prepara el camino para su implante malicioso final. BlindEagle es bien conocido por utilizar Troyanos de Acceso Remoto (RATs) de código abierto, con el objetivo principal de espiar a las víctimas y también robar información financiera. Suelen modificar estas muestras para personalizarlas y agregarles capacidades adicionales. Entre las sucesivas campañas, el grupo va rotando de un RAT a otro. Durante nuestro monitoreo, hemos observado que BlindEagle realiza operaciones utilizando njRAT, LimeRAT, BitRAT y AsyncRAT, y otros más.
Para desplegar el implante final, el grupo utiliza un proceso de múltiples etapas que es consistentemente similar entre sus campañas. El dropper inicial, descargado de los enlaces maliciosos incluidos en los correos de phishing, suele ser un archivo comprimido que engaña a la víctima haciéndose pasar por un documento oficial del gobierno o de la entidad financiera suplantada. Hemos observado el uso de formatos de compresión populares como ZIP, pero también otros formatos más antiguos y menos conocidos como LHA y UUE. Muchos actores de amenazas se valen de estos formatos menos conocidos para engañar a sus víctimas y hacer que los abran, aprovechándose de su falta de conocimiento sobre estos tipos de archivo.
Se persuade a la víctima para extraer y ejecutar los archivos que se obtienen del archivo comprimido a fin de resolver el problema mencionado en el correo de phishing. Los archivos extraídos suelen ser scripts de Visual Basic que utilizan WScript, objetos XMLHTTP o comandos de PowerShell para contactar a otro servidor y descargar el artefacto malicioso para la siguiente etapa.
Durante las campañas monitoreadas, hemos observado varias opciones de infraestructura elegidas por BlindEagle, incluyendo servidores controlados por el grupo e infraestructura pública, como sitios de alojamiento de imágenes, sitios de almacenamiento de texto (como Pastebin), servicios de CDN (como Discord) y plataformas de desarrollo (como repositorios de GitHub).
Durante la segunda etapa, el grupo emplea diversos archivos, siendo los tipos más comunes los archivos de texto, imágenes y ejecutables .NET. Estos archivos suelen estar codificados u ofuscados.
Esteganografía utilizada en una de las campañas de BlindEagle
Los archivos de texto a menudo están codificados en base64, ASCII o una combinación de ambos. Para las imágenes, el grupo ha explorado el uso de técnicas de esteganografía para ocultar código malicioso que a su vez se encuentra codificado. Por su parte, los archivos ejecutables generalmente se hacen pasar por legítimos y contienen el siguiente payload malicioso dentro de la sección de recursos.
En la siguiente fase, el payload es extraido (si aplica) y decodificado por el dropper inicial, obteniendo un archivo intermedio que, según las campañas que hemos monitoreado, puede ser una DLL o un inyector escrito en .NET. Este archivo es responsable de contactar a un nuevo servidor malicioso para descargar el payload final, el RAT de código abierto.
Durante esta fase intermedia, el grupo utiliza técnicas de inyección de procesos, para ejecutar el RAT en la memoria de un proceso legítimo y de esa manera dificultar la detección por parte del antivirus. La técnica preferida del grupo es la denominada process hollowing. Esta técnica consiste en crear un proceso legítimo en estado suspendido, luego desasignarle su memoria, reemplazarla con el payload malicioso, y finalmente reanudarlo para iniciar su ejecución.
Ciberespionaje o ataque financiero: esa es la cuestión
BlindEagle utiliza RATs de código abierto como el eslabón final en su cadena de ataque. El uso de este tipo de malware les brinda la flexibilidad para hacer modificaciones al código para ajustarlo a sus objetivos con un mínimo esfuerzo. Hemos observado una amplia variedad de RATs utilizados por el grupo, como AsyncRAT, njRAT, LimeRAT, Quasar RAT y BitRAT.
El grupo demuestra una gran adaptabilidad entre campañas. Por ejemplo, en algunos de sus ataques financieros, BlindEagle ha utilizado una versión modificada del Quasar RAT, un malware principalmente usado para espionaje, pero en este caso lo readecuó como un troyano bancario para atacar específicamente a clientes de instituciones financieras en Colombia.
El grupo añadió una funcionalidad para capturar información sensible durante la navegación web de la víctima, interceptando credenciales de servicios bancarios. Tras ejecutarse, el malware monitoreaba las nuevas ventanas abiertas en el navegador de la víctima. Si el título de alguna de estas ventanas coincidía con una lista de palabras relacionadas con diez entidades financieras colombianas, el RAT iniciaba el módulo de keylogging para capturar las credenciales de inicio de sesión de los servicios de home banking de estas entidades.
Versión modificada de Quasar RAT para el robo de credenciales financieras
Cuando se trata de campañas de espionaje, el grupo recurre a troyanos como njRAT. Las versiones modificadas de este malware les permiten capturar información crítica de sus víctimas a través de keylogging y monitoreo de aplicaciones. Además, el RAT exfiltra información del sistema y capturas de pantalla a los servidores C2, y puede crear sesiones RDP o incluso instalar complementos adicionales. En una de las campañas que hemos detectado recientemente, el grupo modificó este RAT para agregarle la capacidad de instalar complementos enviados desde el C2 en forma de ejecutables .NET u otros archivos binarios.
Mejorando la precisión de vuelo
El grupo siempre ha sido conocido por utilizar tácticas y técnicas simples, pero altamente efectivas: campañas de phishing básicas, métodos sencillos de codificación y ofuscación, y el uso de malware open-source. Sin embargo, durante las últimas campañas, hemos observado cambios en las técnicas del grupo, reforzando la idea de ‘adaptarse o morir’.
En mayo de este año, por ejemplo, el grupo llevó a cabo una nueva campaña de espionaje dirigida a Colombia. Durante esta operación, BlindEagle empleó un proceso de infección con malware que contenían código, nombres de variables y funciones completamente en portugués (en lugar del español que habían utilizado de manera predominantemente anteriormente) y utilizó sitios de alojamiento de imágenes brasileños. Aunque no es concluyente, estos elementos podrían sugerir la participación de terceros con el grupo, ya sea a través de colaboración o subcontratación para aumentar su capacidad de ataque.
Más recientemente, en junio, observamos una campaña de espionaje dirigida a Colombia en la que el grupo introdujo una nueva técnica dentro de su arsenal. La campaña contó con todas las TTPs habituales del grupo, pero esta vez añadió DLL sideloading y un malware loader nuevo, que se llama HijackLoader.
El ataque se inició con correos de phishing suplantando a instituciones del sistema judicial de Colombia y conteniendo archivos PDF o DOCX maliciosos relacionados con una notificación de demanda o una citación judicial. Las víctimas fueron engañadas para abrir los archivos adjuntos y hacer clic en enlaces para descargar documentos legales ficticios que resolverían problemas legales mencionados anteriormente. Estos documentos eran en realidad archivos ejecutables legítimos firmados por ASUS o IObit, que invocaban DLLs maliciosas a través de sideloading, ejecutando finalmente una versión de HijackLoader que inyectaba el RAT espía.
Víctimas
Desde sus inicios, BlindEagle ha estado llevando a cabo campañas persistentes dirigidas a entidades e individuos, particularmente en Colombia y otros países latinoamericanos como Ecuador, Chile y Panamá.
En las campañas de espionaje que hemos monitoreado este año (específicamente en mayo y junio), el grupo tuvo como objetivo principal a individuos y organizaciones en Colombia, que representaron el 87% de las víctimas detectadas. Estos ataques involucraron entidades de varios sectores, como el gubernamental, educación, salud y transporte.
Tácticas, Técnicas y Procedimientos (TTP)
El grupo emplea una variedad de tácticas, técnicas y procedimientos que se utilizan de manera consistente en sus diferentes campañas. A continuación, se detallan algunos TTP clave que se repiten con frecuencia:
- Phishing suplantando entidades gubernamentales como método de propagación. En algunas campañas, particularmente las que involucran ataques financieros, el grupo suplanta la identidad de instituciones bancarias.
- Archivos PDF y DOCX adjuntos que contienen enlaces embebidos que apuntan a sitios donde el grupo aloja sus artefactos maliciosos.
- Servicios de acortamiento de URL utilizados para el filtrado por geolocalización.
- Servicios de DNS dinámico empleados para resolver las direcciones de los servidores maliciosos.
- Infraestructura pública utilizada para alojar algunos de los artefactos maliciosos utilizados por el grupo (servicios de hosting de imágenes, pastebin, repositorios de GitHub, servidores de la CDN de Discord, entre otros.)
- Uso de process hollowing para inyectar código malicioso en procesos legítimos durante las fases intermedias del ataque.
- Scripts VBS y ejecutables .NET empleados como artefactos intermedios.
- RATs de código abierto utilizados como el payload final en el ataque.
Conclusiones
Aunque las técnicas y procedimientos de BlindEagle pueden parecer simples, su efectividad le permite al grupo mantener un alto nivel de actividad. Sus campañas persistentes de ciber espionaje y robo de credenciales financieras les permite instalarse como una amenaza significativa en la región y de gran impacto.
Además, como hemos observado en campañas recientes, el grupo se encuentra explorando estrategias alternativas dentro de sus procesos de infección, a la vez que añade nuevas técnicas a su arsenal con el objeto de mantenerse actualizado. BlindEagle continúa volando alto y nosotros continuaremos monitoreando de cerca toda su actividad.
IoC
18eb0a413b80a548d2b615e11fc580cd
53231da42b6f19d2a6b59700f822be6a
69d218a3cd86a194d8fbc22c487096bc
7b72f2775b7bf33c9778533480d34e04
BlindEagle vuela alto en LATAM