Группа APT Blind Eagle, также известная как APT-C-36, представляет собой серьёзную угрозу для колумбийских учреждений и частных организаций. С момента своего появления в 2018 году они используют все более сложные методы, включая тактику социальной инженерии и фишинговые атаки, нацеленные на распространение вредоносного ПО.
Адаптация к уязвимостям
Как показали недавние исследования, группа Blind Eagle адаптировалась к новым уязвимостям, таким как CVE-2024-43451. Эта уязвимость позволяет:
- Раскрывать хэши NTLMv2;
- Облегчать атаки на аутентификацию с использованием хэш-кода;
- Способствовать горизонтальному перемещению внутри сетей.
Кибератаки и распространение вредоносного ПО
25 февраля 2025 года группа загрузила конфиденциальные HTML-документы, содержащие личную информацию (PII), в один из своих репозиториев. Этот файл был удалён вскоре после загрузки трояна Remcos Remote Access (RAT), который играет ключевую роль в их операциях.
Remcos RAT функционирует как загрузчик и использует известные системные процессы, такие как MSBuild.exe и InstallUtil.exe, для внедрения вредоносного ПО, оставаясь под контролем сервера C&C для последующих загрузок полезной нагрузки.
Новые тактики заражения
Заражение систем часто обходится в обход традиционных механизмов безопасности. Для этого используются законные платформы для обмена файлами, включая:
- Google Drive;
- Dropbox;
- Bitbucket;
- GitHub.
Текущий набор инструментов Blind Eagle включает в себя несколько commodity RAT, среди которых особенно выделяется Remcos, работающий в тандеме с HeartCrypt — пакетом как сервисом для обфускации и защиты вредоносных исполняемых файлов.
Сложность противников и рост числа атак
Методы группы также предполагают использование файлов формата .url для выполнения запросов WebDAV. Эти файлы уведомляют хакеров, когда пользователи их загружают, что позволяет находить потенциальные цели без прямого взаимодействия.
По данным аналитиков, деятельность Blind Eagle ведёт к значительному росту случаев заражения. В декабре 2024 года было зафиксировано более 1600 случаев заражения в ходе кампании против судебных учреждений, что подчёркивает целевой подход группы.
Заключение
Инфраструктура управления Blind Eagle часто изменяется, что обеспечивает её оперативную устойчивость при использовании одного и того же IP-адреса в разных доменах. Эта гибкость и понимание целевой среды работы группы требуют от организаций повышения уровня кибербезопасности, включая:
- Постоянный мониторинг;
- Упреждающий анализ угроз.
Лишь так можно снизить риски, связанные с угрозами, которые становятся всё более адаптивными и изощрёнными.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Blind Eagle: Угрозы APT и новые методы кибератак".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.