بازیگر جاسوسی سایبری که به عنوان عقاب کور ردیابی میشود، با یک زنجیره حمله چند مرحلهای جدید مرتبط است که منجر به استقرار تروجان دسترسی از راه دور NjRAT بر روی سیستمهای در معرض خطر میشود.
ThreatMon در گزارشی سهشنبه گفت: «این گروه به دلیل استفاده از انواع تکنیکهای حمله پیچیده، از جمله بدافزارهای سفارشی، تاکتیکهای مهندسی اجتماعی، و حملات spear-phishing مشهور است.
عقاب کور که به آن APT-C-36 نیز گفته می شود، یک گروه مشکوک اسپانیایی زبان است که عمدتاً به نهادهای بخش خصوصی و دولتی در کلمبیا حمله می کند. حملات سازماندهی شده توسط این گروه اکوادور، شیلی و اسپانیا را نیز هدف قرار داده است.
زنجیرههای حمله ای که توسط Check Point و BlackBerry در سال جاری ثبت شدهاند، استفاده از فریبهای spear-phishing را برای ارائه خانوادههای بدافزارهای کالایی مانند BitRAT و AsyncRAT و همچنین لودرهای پایتون در حافظه با قابلیت راهاندازی Meterpreter نشان دادهاند.
آخرین کشف ThreatMon مستلزم استفاده از دانلود کننده جاوا اسکریپت برای اجرای اسکریپت PowerShell میزبانی شده در Discord CDN است. اسکریپت، به نوبه خود، یک اسکریپت PowerShell دیگر و یک فایل دستهای ویندوز را حذف میکند و یک فایل VBScript را در پوشه راهاندازی ویندوز ذخیره میکند تا پایدار بماند.
سپس کد VBScript برای راهاندازی فایل دستهای اجرا میشود، که متعاقباً برای اجرای اسکریپت PowerShell که قبلاً همراه با آن تحویل داده شده بود، از حالت ابفیس خارج میشود. در مرحله آخر از اسکریپت PowerShell برای اجرای njRAT استفاده می شود.
این شرکت امنیت سایبری گفت: njRAT که با نام Bladabindi نیز شناخته میشود، یک ابزار دسترسی از راه دور (RAT) با رابط کاربری یا تروجان است که به دارنده برنامه اجازه میدهد کامپیوتر کاربر نهایی را کنترل کند.
ThreatMon در گزارشی سهشنبه گفت: «این گروه به دلیل استفاده از انواع تکنیکهای حمله پیچیده، از جمله بدافزارهای سفارشی، تاکتیکهای مهندسی اجتماعی، و حملات spear-phishing مشهور است.
عقاب کور که به آن APT-C-36 نیز گفته می شود، یک گروه مشکوک اسپانیایی زبان است که عمدتاً به نهادهای بخش خصوصی و دولتی در کلمبیا حمله می کند. حملات سازماندهی شده توسط این گروه اکوادور، شیلی و اسپانیا را نیز هدف قرار داده است.
زنجیرههای حمله ای که توسط Check Point و BlackBerry در سال جاری ثبت شدهاند، استفاده از فریبهای spear-phishing را برای ارائه خانوادههای بدافزارهای کالایی مانند BitRAT و AsyncRAT و همچنین لودرهای پایتون در حافظه با قابلیت راهاندازی Meterpreter نشان دادهاند.
آخرین کشف ThreatMon مستلزم استفاده از دانلود کننده جاوا اسکریپت برای اجرای اسکریپت PowerShell میزبانی شده در Discord CDN است. اسکریپت، به نوبه خود، یک اسکریپت PowerShell دیگر و یک فایل دستهای ویندوز را حذف میکند و یک فایل VBScript را در پوشه راهاندازی ویندوز ذخیره میکند تا پایدار بماند.
سپس کد VBScript برای راهاندازی فایل دستهای اجرا میشود، که متعاقباً برای اجرای اسکریپت PowerShell که قبلاً همراه با آن تحویل داده شده بود، از حالت ابفیس خارج میشود. در مرحله آخر از اسکریپت PowerShell برای اجرای njRAT استفاده می شود.
این شرکت امنیت سایبری گفت: njRAT که با نام Bladabindi نیز شناخته میشود، یک ابزار دسترسی از راه دور (RAT) با رابط کاربری یا تروجان است که به دارنده برنامه اجازه میدهد کامپیوتر کاربر نهایی را کنترل کند.