Blind Eagle Kolumbiai kampánya
A Blind Eagle, más néven APT-C-36 csoport, már legalább 2018 óta aktív, és elsősorban Kolumbiában, valamint más latin-amerikai országokban működő kormányzati intézményeket, pénzügyi szervezeteket és kritikus infrastruktúrákat céloz meg.
A Check Point jelentés szerint 2024 novembere óta a csoport folyamatosan indított kampányokat kolumbiai intézmények és kormányzati szervek ellen. Ezekben a támadásokban rosszindulatú .url fájlokat használtak, amelyek hasonló hatást váltanak ki, mint a CVE-2024-43451 sebezhetőség. A sérülékenység lehetővé teszi a támadók számára, hogy megszerezzék a felhasználók NTLMv2 hash-ét, amelyet később hitelesítésre használhatnak pass-the-hash vagy relay támadások során. Bár a Blind Eagle által használt rosszindulatú fájlok nem közvetlenül ezt a sebezhetőséget használják ki, hasonló WebDAV kéréseket indítanak, értesítve a támadókat a fájl letöltéséről. Amikor a felhasználó megnyitja a fájlt, az letölti és futtatja a következő szintű kártevőt egy újabb WebDAV kérésen keresztül.
Microsoft 2024. november 12-én javította a fent említett sebezhetőséget. Mindössze hat nappal később a Blind Eagle már beépítette az új .url variánst támadási arzenáljába, bizonyítva gyors alkalmazkodóképességét.
A megfigyelt kampányok során a csoport kolumbiai igazságügyi intézményeket és más kormányzati vagy magánszervezeteket célzott, magas fertőzési arányokkal. Egy 2024. december 19-i kampány során több mint 1600 áldozatot érintettek, ami jelentős szám egy célzott APT csoport esetében.
A kártevők terjesztéséhez a csoport gyakran használ valós fájlmegosztó platformokat, mint például a Google Drive és a Dropbox. Az utóbbi kampányokban azonban a Bitbucket és a GitHub platformokat is igénybe vették.
A Blind Eagle ismert arról, hogy a darkwebes bűnözői közösségekben elterjedt kártevőket és eszközöket használ. A legújabb felfedezések szerint a csoport a HeartCrypt nevű Packer-as-a-Service szolgáltatást alkalmazza kártevői védelmére, amely egy .NET alapú távoli hozzáférési trójait (RAT) csomagol, hasonlóan a PureCrypter variánsaihoz. A végső payload továbbra is a Remcos RAT.
A csoport tevékenységeinek elemzése alapján a működési időzónájuk UTC-5, ami több dél-amerikai országgal is megegyezik, tovább erősítve a feltételezést, hogy a csoport innen származik.
2024 márciusának elején a csoport adathalász kampányokat indított, amelyekben kolumbiai bankoknak adták ki magukat. Ezek a kampányok rendkívül sikeresek voltak, több mint 8000 személyes azonosításra alkalmas információt gyűjtöttek össze.
