Les experts du GReAT (Global Research and Analysis Team) de Kaspersky ont rapporté que le groupe APT BlindEagle a procédé à plusieurs mises à jour dans le cadre de l'une de ses dernières campagnes de cyberespionnage ciblant des individus et des organisations en Colombie. Ces mises à jour comprennent un nouveau plugin d'espionnage et l'utilisation de sites d'hébergement de fichiers brésiliens légitimes au cours du processus d'infection. Le code malveillant contient de plus en plus de parties écrites en portugais, alors qu’il était auparavant essentiellement en espagnol. Kaspersky a également identifié une autre campagne à l'initiative de BlindEagle, exploitant une technique de sideloading DLL, inhabituelle pour cet acteur.
Le groupe BlindEagle, connu depuis 2018, a récemment fait évoluer ses méthodes d'espionnage. Alternant entre différents trojans open-source d'accès à distance (RAT), l'acteur de la menace a choisi njRAT comme outil principal pour l'une de ses dernières campagnes, en mai 2024. Ce malware est capable d'enregistrer les frappes, d'accéder à la webcam, de voler des informations contenues sur les appareils, de procéder à des captures d'écran, de surveiller des applications, entre autres activités de cyberespionnage. Suite à la mise à jour, il a été enrichi avec des capacités supplémentaires : le cheval de Troie prend désormais en charge une extension de plugin spéciale qui permet l'exécution de fichiers binaires et .NET. Le champ d'application potentiel de ce plugin comporte l'exécution de modules d'espionnage supplémentaires et la collecte de nouvelles informations sensibles.
« Les conséquences réelles de cette mise à jour restent à évaluer. Les acteurs de menaces pourraient viser un large éventail d'informations sensibles. Lors de campagnes précédentes, le groupe a utilisé des modules pour filtrer la localisation de la victime, obtenir des informations système détaillées (par exemple les applications installées sur l’appareil), désactiver les logiciels antivirus et injecter des charges utiles malveillantes comme Meterpreter », explique Leandro Cuozzo, chercheur en sécurité du (GReAT) de Kaspersky.
Nouveau processus d'infection et tendance croissante à l'utilisation du portugais dans les codes malveillants
Pour distribuer le malware et le nouveau plugin, les attaquants mettent d’abord en œuvre des techniques de spear phishing. Ils envoient des mails imitant les communications d’une entité gouvernementale informant les personnes ciblées au sujet d'une amende à régler pour infraction au code de la route. Le courriel contient une pièce jointe malveillante déguisée en PDF, qui exécute un script Visual Basic (VBS) téléchargeant un spyware sur l’appareil de la victime.
Au cours de leurs analyses, les chercheurs de Kaspersky ont observé que le dropper contient de plus en plus d’artefacts en portugais, en particulier dans les variables, les noms de fonctions et les commentaires.
« On observe que BlindEagle tend de plus en plus à utiliser le portugais, suggérant une possible collaboration avec des acteurs de menaces externes. Auparavant, l'espagnol prédominait largement dans leurs artefacts, mais le groupe a commencé à utiliser de plus en plus de fonctions et de noms de variables en portugais lors des campagnes plus récentes. On retrouve également des domaines brésiliens pour le chargement de ses malwares en plusieurs étapes, renforçant l'hypothèse d'une collaboration avec des agents extérieurs à l'équipe », explique Leandro Cuozzo.
Le groupe a effectivement utilisé un site d'hébergement d'images brésilien pour déposer le code malveillant sur les appareils des victimes. Avant cela, ils passaient par des services tels que Discord ou Google Drive. Le script exécute une commande de téléchargement d'images à partir de ce site d'hébergement, contenant un code nuisible extrait puis exécuté sur l'ordinateur de la victime.
« La prévalence des campagnes de cyberespionnage sophistiquées souligne la nécessité pour les organisations et les individus de rester vigilants et de se protéger contre les menaces émergentes », continue Leandro Cuozzo. « L'évolution constante des stratégies mises en oeuvre par les cybercriminels exige une approche proactive de la cybersécurité, en tirant parti de la threat intelligence et des technologies de détection de pointe, associées à la sensibilisation aux questions cyber. »
Kaspersky a également constaté que BlindEagle avait lancé une campagne distincte en juin 2024, employant la technique de sideloading de DLL, une méthode utilisée pour exécuter du code nuisible via les Windows’ Dynamic Link Libraries (DLLs), une nouveauté pour cet acteur de la menace.
Comme vecteur initial, les cybercriminels ont envoyé des documents dissimulant des PDF et DOCX malveillants, incitant les victimes à cliquer sur des liens intégrés pour télécharger des documents relatifs à un procès fictif. Ces documents sont des fichiers ZIP renfermant un exécutable qui déclenche l'infection par le biais d'un chargement secondaire, ainsi que divers fichiers utilisés dans la chaîne d'attaque. Les auteurs de la menace ont choisi une version d'AsyncRAT utilisée précédemment dans plusieurs campagnes.
BlindEagle (alias APT-C-36) est un groupe APT connu pour ses techniques et méthodes d'attaque simples mais efficaces, et ses campagnes persistantes visant des organisations et des individus en Colombie, en Équateur et dans d'autres pays d'Amérique latine. Ils ont ciblé des entités de différents secteurs, notamment des institutions gouvernementales, des organisations du secteur de l'énergie et du pétrole et du gaz, ou encore des sociétés financières. Alternant entre différents RAT open-source, tels que njRAT, Lime-RAT ou BitRAT, le groupe a pour principal objectif d'espionner et de voler les informations financières des personnes visées. Ses stratégies évolutives sont la preuve de son adaptabilité dans la définition des objectifs de ses attaques, et démontrent sa capacité à mener à terme aussi bien des offensives à des fins purement financières que des opérations d'espionnage.
Lors des campagnes d'espionnage menées en mai et en juin dernier, 87 % des personnes et des organisations ciblées se trouvaient en Colombie, particulièrement dans les institutions gouvernementales, ou encore dans les secteurs de l'éducation, de la santé et des transports.
Pour plus d'informations, rendez-vous sur Securelist. Pour une immersion approfondie dans le paysage des cybermenaces, et des opportunités de réseautage, rejoignez le Security Analyst Summit (SAS) de Kaspersky, dont la 16e édition se tiendra du 22 au 25 octobre 2024, à Bali.
