Ssylka

Blind Eagle: атаки NTLM, RAT и GitHub на колумбийские учреждения

Группа Blind Eagle, также известная как AguilaCiega, APT-C-36 и APT-Q-98, действует с 2018 года, сосредотачивая свои атаки на организациях Южной Америки, прежде всего в Колумбии и Эквадоре.
Blind Eagle: атаки NTLM, RAT и GitHub на колумбийские учреждения
Изображение носит иллюстративный характер

С ноября 2024 года отмечается систематическое целевое нападение на колумбийские судебные и государственные учреждения, в рамках которого 19 декабря 2024 года зафиксирован случай, затронувший более 1 600 объектов, что демонстрирует высокий уровень прицельности операций.

Для первоначального проникновения злоумышленники применяют социальную инженерию и целевые фишинговые рассылки, сопровождая их установкой удалённых троянов, таких как AsyncRAT, NjRAT, Quasar RAT и Remcos RAT, что позволяет обеспечивать долгосрочный контроль над инфицированными системами.

Особое внимание уделяется использованию уязвимости NTLMv2 (CVE-2024-43451), исправленной Microsoft в ноябре 2024 года. Уже через шесть дней после выхода патча, группа внедрила модифицированную версию эксплойта, при которой вредоносный файл с расширением.URL, распространяемый через фишинговые письма, инициирует загрузку и исполнение следующего этапа атаки, дополнительно активируя WebDAV-запросы на уязвимых системах.

Для доставки Remcos RAT злоумышленники используют вредоносный исполняемый файл, защищённый с помощью сервиса HeartCrypt, являющегося вариантом PureCrypter, что обеспечивает дополнительное укрытие от обнаружения. Файлы распространялись через платформы Bitbucket и GitHub, ранее использовавшиеся для обмена легитимными данными.

Перемещение вредоносного кода через сервисы Google Drive, Dropbox, Bitbucket и GitHub позволяет обходить стандартные меры безопасности. Анализ одного из репозиториев выявил использование времени UTC-5, что соответствует часовому поясу нескольких стран Южной Америки, подтверждая географическую привязку группы.

Критической ошибкой в операциях стало обнаружение в истории коммитов GitHub файла «Ver Datos del Formulario.html», содержащего учетные данные для 1 634 уникальных адресов электронной почты. Файл включал логины, пароли, адреса электронной почты, данные для доступа к почтовым системам и PIN-коды банкоматов, что затронуло государственные учреждения, образовательные организации и бизнес-структуры Колумбии; документ был удалён 25 февраля 2025 года.

Эксперты Check Point отмечают быструю адаптацию Blind Eagle к новым эксплойтам и использование специализированных криминальных инструментов, что позволяет группе демонстрировать высокую техническую изощрённость и одновременно выявляет уязвимости в защите критически важных систем, благодаря применению легитимных облачных платформ для распространения вредоносного ПО.


Новое на сайте

15504Как сетевое лидерство может спасти компанию от провала? 15503Пищевая угроза: связь ультрапереработанных продуктов с преждевременной смертностью 15502Космическая алхимия: как умирающие звезды создают тяжелые элементы 15501Как совпадение в футбольных титулах раскрывает загадку последовательности фибоначчи? 15500Культура безнаказанности: скандал в BBC и проблема "неприкасаемых" звезд 15499Древний сосуд в форме собачьей головы: история апулийского ритона 15498Беспрецедентная распродажа процессоров Intel на Amazon: игровые CPU по рекордно низким... 15497Экранизация "соляной тропы": как новый фильм изменит туристический ландшафт... 15496Прорыв в астрономии: обнаружено гигантское облако звездообразования "эос"... 15495Почему пользователи WooCommerce стали мишенью для изощренной фишинговой атаки с... 15494Какой динозавр был самым быстрым в истории земли? 15493Как насекомые и свекольный сок могут изменить будущее пищевой индустрии? 15492Как «битва визажистов» возвращается на экраны, а «громовержцы» штурмуют кинотеатры? 15491Космическое возрождение: туманность Орла в новом свете к 35-летию телескопа хаббл 15490Как наука объясняет объективность цвета в мире субъективного восприятия?