駭客組織APT-C-36冒充稅務機關，鎖定哥倫比亞保險業者發動網釣攻擊

駭客假冒政府機關製造受害者恐慌，讓他們亂了陣腳而乖乖照做的情況相當常見，近期有鎖定特定行業員而來的攻擊行動，就是典型的例子。

資安業者Zscaler揭露匿稱為AguilaCiega、BlindEagle、APT-Q-98的駭客組織APT-C-36攻擊行動，駭客約從今年6月開始，鎖定哥倫比亞保險業的員工從事網路釣魚攻擊，過程裡駭客冒充當地稅務機關，意圖散布RAT木馬程式BlotchyQuasar。

這些釣魚郵件通常會挾帶PDF附件，駭客在郵件內文及PDF附檔裡面都寫入指向ZIP檔案的URL，一旦收信人點選，就會從Google Drive下載ZIP檔，該壓縮檔的內容就是BlotchyQuasar。值得留意的是，掌管這個Google帳號的用戶是哥倫比亞的地方政府機關，駭客很可能取得外流帳密資料而得，這樣的情況使得收信人很容易降低警覺，以為資料來自政府單位而照做。

附帶一提的是，為了避免ZIP檔遭到資安系統攔截，這些駭客也將這些壓縮檔加上密碼保護。

在其中一封釣魚信裡，駭客冒充哥倫比亞國家稅務和海關管理局（Dirección de Impuestos y Aduanas Nacionales，DIAN），聲稱收信人因尚未繳稅已收到扣押令，意圖製造恐慌。

而對於釣魚信的來源，研究人員指出駭客很有可能透過自己的基礎設施發送，但這些信件的連網來源，則透過VPN服務Powerhouse Management隱匿。

研究人員對於惡意程式進行分析，研究人員分析BlotchyQuasar之後，認為這支惡意程式源於QuasarRAT，能夠側錄使用者鍵盤輸入的內容、執行Shell命令，以及竊取帳密資料的功能。值得留意的是，這個惡意程式可讓駭客監控受害者特定銀行交易或是支付服務，目標涵蓋哥倫比亞和厄瓜多爾近20家銀行。