Blind Eagle (APT-C-36): новая волна атак на Латинскую Америку и адаптация к уязвимостям Windows
С 2018 года хакерская группировка Blind Eagle, известная также как APT-C-36, активно нацеливается на организации Латинской Америки, особенно в Колумбии. В числе их основных мишеней — правительственные учреждения, финансовые организации и критически важная инфраструктура. Последние операции этой группы демонстрируют высокий уровень технической гибкости и умение обходить внедрённые компанией Microsoft меры защиты.
Методы атак и использование уязвимостей
Основной вектор проникновения — фишинговые emails с вредоносными URL-ссылками. После перехода по таким ссылкам вредоносный файл загружается и активируется при минимальном взаимодействии с пользователем. Особое внимание экспертов привлекла эксплуатация уязвимости CVE-2024-43451 в Microsoft Windows, связанной с возможностью раскрытия хэшей пароля пользователя NTLMv2.
- Уязвимость позволяла злоумышленникам получить хэш NTLMv2 при минимальном взаимодействии.
- Microsoft выпустила исправление в ноябре 2024 года.
- Blind Eagle адаптировала тактику — вместо прямого использования уязвимости теперь применяется загрузка вредоносной полезной нагрузки через внешние ссылки.
При этом в ходе атаки активируется запрос WebDAV по протоколу HTTP с пользовательским агентом Microsoft-WebDAV-MiniRedir/10.0.19044. WebDAV обеспечивает передачу файлов и каталогов через интернет, что даёт хакерам возможность осуществлять дополнительные запросы для запуска следующей полезной нагрузки.
Эффективное взаимодействие с инфраструктурой C2
Blind Eagle демонстрирует высокую степень совершенства в работе с инфраструктурой командования и контроля (C2). Важным аспектом является технология уведомления злоумышленников, которая информирует их о том, что вредоносный файл был загружен жертвой. Это позволяет атакующим оперативно реагировать на ход кампании.
Недавние случаи компрометации и активность в 2025 году
В конце февраля 2025 года компания Darktrace зафиксировала продолжающуюся деятельность Blind Eagle, направленную против клиента из Колумбии. Были обнаружены следующие характерные признаки атаки:
- Перенаправление сетевого трафика на внешний IP-адрес, геолокированный в Германии.
- Использование динамических DNS-сервисов для регулярного изменения IP и поддержки доступа к инфраструктуре C2.
- Применение вредоносного ПО Remcos — Remote Access Trojan (RAT), задействованного в фишинговых кампаниях.
- Увеличение активности связи с C2 и проблемы с алгоритмом генерации вредоносных доменов (DGA).
- Обмен данными через новый TCP-порт 1512, что свидетельствует о масштабном компрометационном инциденте, включающем подозрительные загрузки и передачу данных.
Рекомендации по защите и будущее противостояния
Устойчивость группы Blind Eagle подчёркивает недостаточность лишь своевременного внедрения исправлений. Их способность менять методы атаки требует комплексного подхода к защите — внедрения эффективных систем обнаружения аномалий и поведения пользователей и устройств.
Для организаций крайне важно сочетать:
- Своевременное применение патчей и обновлений.
- Автономные решения по обнаружению угроз и реагированию (EDR и XDR).
- Мониторинг аномалий в сетевом трафике и поведении конечных устройств.
Только через такое многоуровневое и проактивное противодействие можно эффективно сдерживать развитие изощренных тактик, применяемых хакерами, подобных Blind Eagle.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "APT Blind Eagle: новые методы атак на Латинскую Америку в 2025 году".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.