Blind Eagle: новая угроза финансовому сектору Латинской Америки
Недавние исследования выявили активность хакерской группы Blind Eagle, известной также как APT-C-36. Эта организация тесно связана с российской пуленепробиваемой хостинговой компанией Proton66 и нацелена на финансовые учреждения в Латинской Америке, в первую очередь — в Колумбии.
Особенности операционной инфраструктуры Blind Eagle
Расследование показало, что инфраструктура группы представляет собой разветвлённую сеть доменов и IP-адресов, которые взаимосвязаны между собой. С начала лета 2024 года был замечен новый кластер доменов, каждый из которых привязан к IP-адресам Proton66. Эти домены служат для размещения следующих типов вредоносного контента:
- фишинговые сайты, имитирующие колумбийские банковские порталы;
- скрипты VBS, служащие для загрузки вредоносного ПО;
- инструменты для управления заражёнными системами.
Методы атаки и используемое вредоносное ПО
Основной исходный вектор атак — Visual Basic Scripts (VBS). Эти скрипты действуют как загрузчики, которые расшифровывают строки в формате Base64 и инициируют загрузку второстепенного вредоносного ПО. Чаще всего используются RAT (Remote Access Trojans) с открытым исходным кодом, такие как Remcos и AsyncRAT. RAT позволяют злоумышленникам сохранять контроль над скомпрометированными системами и администрировать их через удобные веб-интерфейсы.
Примечательно, что исследователи отмечают использование Blind Eagle сервисов на основе подписки, которые маскируют полезную нагрузку на VBS, осложняя обнаружение и анализ вредоносных скриптов. В то же время, сюрпризом стала обнаруженная группа открытых каталогов с идентичными вредоносными файлами, что указывает на упрощённый подход к работе и минимальные меры по скрытию операционной структуры.
Фишинговые кампании и их особенности
Фишинговые сайты, используемые группой, тщательно копируют дизайн реальных банковских порталов Колумбии. Их цель — кража учетных данных для входа и конфиденциальной информации клиентов. Вредоносное ПО первой стадии внедряется при заходе на эти сайты, что облегчает последующее заражение компьютеров жертв.
После запуска VBS первого этапа создаются запланированные задачи, которые обеспечивают дальнейшую загрузку и запуск вредоносных модулей. Основные исполняемые файлы зачастую содержат заголовок MZ и переименовываются для обхода базовых защитных механизмов.
Риски и рекомендации для финансовых организаций
Blind Eagle представляет собой серьёзную угрозу для организаций финансового сектора Латинской Америки. Из-за использования относительно простых, но эффективных методов атаки с акцентом на фишинг и инфраструктуру, построенную на легкодоступных инструментах, риски компрометации крайне высоки.
Для минимизации последствий рекомендуется придерживаться следующих мер безопасности:
- внедрять строгие системы фильтрации и анализа входящей электронной почты;
- организовывать регулярное обучение сотрудников по распознаванию специфических стратегий фишинга;
- осуществлять упреждающий мониторинг региональных индикаторов угроз и событий кибербезопасности;
- держать под постоянным контролем состояние ИТ-инфраструктуры и выявлять подозрительную активность.
Комплексный подход к защите поможет существенно снизить вероятность успешных атак со стороны Blind Eagle и других подобных APT-групп.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Blind Eagle: анализ атак и инфраструктуры APT-C-36 на банки Латинской Америки".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.
