【安全资讯】BlindEagle APT组织利用BlotchyQuasar RAT攻击哥伦比亚保险行业

概要：

Zscaler ThreatLabz的网络安全研究人员发现，BlindEagle APT组织近期针对哥伦比亚保险行业发起了一系列新的网络攻击。这些攻击通过伪装成税务通知的钓鱼邮件，诱骗受害者下载包含BlotchyQuasar远程访问木马（RAT）的恶意ZIP文件。

主要内容：

BlindEagle APT组织的攻击始于伪装成哥伦比亚国家税务和海关总署（DIAN）的钓鱼邮件。这些邮件声称收件人欠缴税款，并威胁资产被扣押，旨在制造紧迫感。受害者被引导下载邮件中的ZIP文件或PDF附件，这些文件均包含BlotchyQuasar RAT的有效载荷。

BlotchyQuasar RAT是QuasarRAT的变种，经过高度混淆以逃避检测。一旦ZIP文件被下载，RAT通过多层保护机制部署，包括DeepSea和ConfuserEx等定制混淆工具。这种分层防御使得逆向工程变得困难，增加了其隐蔽性。执行后，BlotchyQuasar连接到其命令与控制（C2）基础设施，通过Pastebin检索C2域名，开始记录键盘输入、窃取凭证并监控特定银行服务的交互。

BlindEagle利用动态DNS服务和被攻陷的VPN节点来隐藏其基础设施，C2域名托管在linkpc[.]net等服务上，流量通过Powerhouse Management VPN的IP地址路由。这些策略使得追踪攻击源变得困难。BlotchyQuasar特别危险，因为它能够监控受害者与金融网站的交互，通过检查新打开窗口的标题来捕捉凭证，从而窃取支付详情和银行信息。

BlindEagle的最新攻击活动突显了针对南美保险行业的不断演变的威胁。通过BlotchyQuasar，BlindEagle继续展示其在网络间谍活动中的能力，利用钓鱼和高级混淆技术窃取敏感金融数据。特别是哥伦比亚的组织必须保持警惕，加强防御，以应对这些持续的威胁。