A TAG-144 APT csoport új TTP-t alkalmaz

A TAG-144 néven ismert, Blind Eagle vagy APT-C-36 álneveken is szereplő kiberfenyegetési csoport öt különálló aktivitási klasztert működtetett 2024 májusa és 2025 júliusa között, elsősorban kolumbiai kormányzati célpontokat támadva helyi, önkormányzati és szövetségi szinten. A 2018 óta aktív csoport kifinomult kiberkémkedési és anyagi haszonszerzési módszereket alkalmaz, főként hitelesítő adatok ellopására és megfigyelésre koncentrál, többek közt AsyncRAT, DcRAT, REMCOS RAT, XWorm és LimeRAT típusú kártékony programokkal.

A klaszterek eltérő, de részben átfedő taktikákat és eszközöket vetnek be, köztük többlépcsős fertőzési láncokat, melyek során legitim internetes szolgáltatásokat (pl. Discord, GitHub, Archive.org) használnak a káros fájlok elrejtésére, akár képfájlokba ágyazott, steganográfiával rejtett kóddal. Infrastruktúrájukat virtuális szerverekre, dinamikus DNS-szolgáltatókra (pl. duckdns.org, noip.com), kolumbiai internetszolgáltatók IP-címeire és VPN-ekre (pl. TorGuard) építik. A célpontok közt kormányzati szervek dominálnak, de az oktatás, egészségügy és energia szektor is célkeresztbe került, különösen Kolumbiában, Ecuadorban, Chilében és Panamában.

Az öt klaszter különböző módszereket alkalmaz: az egyik például portugál nyelvű megjegyzéseket tartalmazó kódokat használ brazil kibercsoportokkal való esetleges együttműködésre utalva, míg másik klaszter Telegramon terjesztett feltört RAT-verziókat vet be, vagy banki adathalász kampányokkal fertőz. Az elemzések szerint közös IP-címek és GitHub-repozitorik alapján egyértelmű az összefonódás a klaszterek és a Red Akodon nevű fenyegetési szereplő között is. A TAG-144 folyamatosan alkalmaz nyílt forráskódú eszközöket, rejtést segítő programokat (pl. HeartCrypt), és régióspecifikus célzásokat. A biztonsági szakértők IP-szűrésre, viselkedésalapú és aláírásalapú észlelési szabályok alkalmazására, valamint a kompromittált routerek és LIS-kapcsolatok megfigyelésére hívják fel a figyelmet.

(forrás)