Sektor asuransi Kolombia menjadi target aktor ancaman yang dilacak sebagai Elang Buta dengan tujuan akhir untuk memberikan versi khusus dari trojan akses jarak jauh komoditas (RAT) yang dikenal sebagai Quasar RAT sejak Juni 2024.
“Serangan tersebut bermula dari email phishing yang menyamar sebagai otoritas pajak Kolombia,” kata peneliti Zscaler ThreatLabz Gaetano Pellegrino dalam analisis baru yang diterbitkan minggu lalu.
Ancaman persisten tingkat lanjut (APT), juga dikenal sebagai AguilaCiega, APT-C-36, dan APT-Q-98, memiliki rekam jejak yang berfokus pada organisasi dan individu di Amerika Selatan, khususnya terkait dengan sektor pemerintahan dan keuangan di Kolombia dan Ekuador.
Rangkaian serangan, seperti yang baru-baru ini didokumentasikan oleh Kaspersky, berasal dari email phishing yang membujuk penerima untuk mengklik tautan berbahaya yang berfungsi sebagai landasan peluncuran untuk proses infeksi.
Tautan tersebut, baik yang disematkan dalam lampiran PDF maupun langsung di badan email, mengarah ke arsip ZIP yang dihosting pada folder Google Drive yang dikaitkan dengan akun yang disusupi milik organisasi pemerintah daerah di Kolombia.
“Umpan yang digunakan Blind Eagle melibatkan pengiriman pemberitahuan kepada korban, yang mengklaim sebagai perintah penyitaan karena pembayaran pajak yang belum dibayar,” kata Pellegrino. “Ini dimaksudkan untuk menciptakan rasa urgensi dan menekan korban agar mengambil tindakan segera.”
Arsip tersebut berisi varian Quasar RAT yang dijuluki BlotchyQuasar, yang dilengkapi lapisan pengaburan tambahan menggunakan alat seperti DeepSea atau ConfuserEx untuk menghalangi upaya analisis dan rekayasa balik. Sebelumnya, hal ini dijelaskan secara terperinci oleh IBM X-Force pada bulan Juli 2023.
Malware tersebut mencakup kemampuan untuk mencatat penekanan tombol, menjalankan perintah shell, mencuri data dari peramban web dan klien FTP, serta memantau interaksi korban dengan layanan perbankan dan pembayaran tertentu yang berlokasi di Kolombia dan Ekuador.
Ia juga memanfaatkan Pastebin sebagai resolver dead-drop untuk mengambil domain perintah-dan-kontrol (C2), dengan pelaku ancaman memanfaatkan layanan DNS Dinamis (DDNS) untuk menghosting domain C2.
“Blind Eagle biasanya melindungi infrastrukturnya di balik kombinasi node VPN dan router yang disusupi, yang sebagian besar berlokasi di Kolombia,” kata Pellegrino. “Serangan ini menunjukkan penggunaan strategi ini secara terus-menerus.”