По всей видимости, за атаками с использованием российского серверного хостинга Proton66, отличающегося устойчивостью к блокировкам, стоит группировка Blind Eagle.
Эксперты по кибербезопасности недавно вышли на след цепочки цифровых следов, ведущих к Proton66 и напрямую к самой хак-группе. Преступники используют VBS-скрипты, чтобы запустить атаку, а затем устанавливают готовые трояны для удалённого доступа (RAT), получая контроль над заражёнными системами.
Многие киберпреступники выбирают такие надёжные сервера, как Proton66, потому что они игнорируют жалобы и не убирают вредоносные сайты. Это позволяет мошенникам незаметно размещать фишинговые страницы, управляющие сервера и ресурсы для распространения вредоноса.
Специалисты нашли несколько доменов с похожими именами (например, gfast.duckdns[.]org, njfast.duckdns[.]org), которые появились с августа 2024 года и все вели к одному IP-адресу («45.135.232[.]38»), принадлежащему Proton66.
Использование динамических DNS-сервисов, таких как DuckDNS, стало центральной частью их схемы. Создавать новые домены не нужно — злоумышленники меняют поддомены, но IP остаётся тем же, что заметно осложняет задачу по отслеживанию для специалистов.
«Все эти домены использовались для размещения вредоносного контента — от поддельных сайтов банков до VBS-скриптов, которые запускали первую волну заражения, — комментирует эксперт по безопасности Сергей Мельник. — Скрипты играют роль загрузчиков — они скачивают вторичные вредоносные программы, включая распространённые RAT, которые лежат в открытом доступе.»
Хотя Visual Basic Script (VBS) считается не самым свежим инструментом, для хакеров он остаётся удобным из-за совместимости с Windows и возможности действовать незаметно. C его помощью атаки обходят антивирусы, а вредоносная активность легко маскируется под обычную работу пользователя. Эти лёгкие скрипты часто становятся «дверью» для многоуровневых атак: следом устанавливаются RAT, программы для кражи данных и кейлоггеры.
Вредоносные сайты маскировались под интернет-страницы крупнейших банков и финансовых компаний Колумбии — Bancolombia, BBVA, Banco Caja Social и Davivienda. Blind Eagle (им также приписывают названия AguilaCiega, APT-C-36 и APT-Q-98) концентрирует свои атаки на странах Южной Америки, особенно в Колумбии и Эквадоре.
Созданные ими поддельные сайты собирают логины, пароли и другую персональную информацию. А VBS-скрипты, размещённые на их серверах, скачивают зашифрованные вредоносные файлы с удалённых ресурсов и запускают такие RAT, как AsyncRAT или Remcos RAT.
Кроме того, анализ VBS-скриптов показал сходство с утилитой Vbs-Crypter — этим инструментом пользуются для шифрования и сокрытия вредоноса, чтобы его не обнаруживали системы защиты.
Эксперты также нашли ботнет-панель, через которую злоумышленники могут управлять заражёнными машинами, скачивать украденные данные и полностью контролировать устройства жертвы с помощью набора стандартных инструментов RAT.
Известно, что с ноября 2024 года Blind Eagle активно атакует колумбийские компании, используя дыру в Windows (CVE-2024-43451), которую сейчас уже закрыли. Через эту уязвимость преступники запускали второй этап атаки — впервые это зафиксировали весной 2025 года.
«Blind Eagle постоянно меняет тактику, мгновенно реагируя на обновления и устранение уязвимостей. Их способность быстро адаптироваться и снова возвращаться к прежним схемам доказывает: своевременные патчи — только часть защиты, но полную безопасность они не гарантируют», — подчёркивают эксперты.
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru