Группа Blind Eagle, также известная как AguilaCiega, APT-C-36 и APT-Q-98, действует с 2018 года, сосредотачивая свои атаки на организациях Южной Америки, прежде всего в Колумбии и Эквадоре.
С ноября 2024 года отмечается систематическое целевое нападение на колумбийские судебные и государственные учреждения, в рамках которого 19 декабря 2024 года зафиксирован случай, затронувший более 1 600 объектов, что демонстрирует высокий уровень прицельности операций.
Для первоначального проникновения злоумышленники применяют социальную инженерию и целевые фишинговые рассылки, сопровождая их установкой удалённых троянов, таких как AsyncRAT, NjRAT, Quasar RAT и Remcos RAT, что позволяет обеспечивать долгосрочный контроль над инфицированными системами.
Особое внимание уделяется использованию уязвимости NTLMv2 (CVE-2024-43451), исправленной Microsoft в ноябре 2024 года. Уже через шесть дней после выхода патча, группа внедрила модифицированную версию эксплойта, при которой вредоносный файл с расширением.URL, распространяемый через фишинговые письма, инициирует загрузку и исполнение следующего этапа атаки, дополнительно активируя WebDAV-запросы на уязвимых системах.
Для доставки Remcos RAT злоумышленники используют вредоносный исполняемый файл, защищённый с помощью сервиса HeartCrypt, являющегося вариантом PureCrypter, что обеспечивает дополнительное укрытие от обнаружения. Файлы распространялись через платформы Bitbucket и GitHub, ранее использовавшиеся для обмена легитимными данными.
Перемещение вредоносного кода через сервисы Google Drive, Dropbox, Bitbucket и GitHub позволяет обходить стандартные меры безопасности. Анализ одного из репозиториев выявил использование времени UTC-5, что соответствует часовому поясу нескольких стран Южной Америки, подтверждая географическую привязку группы.
Критической ошибкой в операциях стало обнаружение в истории коммитов GitHub файла «Ver Datos del Formulario.html», содержащего учетные данные для 1 634 уникальных адресов электронной почты. Файл включал логины, пароли, адреса электронной почты, данные для доступа к почтовым системам и PIN-коды банкоматов, что затронуло государственные учреждения, образовательные организации и бизнес-структуры Колумбии; документ был удалён 25 февраля 2025 года.
Эксперты Check Point отмечают быструю адаптацию Blind Eagle к новым эксплойтам и использование специализированных криминальных инструментов, что позволяет группе демонстрировать высокую техническую изощрённость и одновременно выявляет уязвимости в защите критически важных систем, благодаря применению легитимных облачных платформ для распространения вредоносного ПО.
Изображение носит иллюстративный характер
С ноября 2024 года отмечается систематическое целевое нападение на колумбийские судебные и государственные учреждения, в рамках которого 19 декабря 2024 года зафиксирован случай, затронувший более 1 600 объектов, что демонстрирует высокий уровень прицельности операций.
Для первоначального проникновения злоумышленники применяют социальную инженерию и целевые фишинговые рассылки, сопровождая их установкой удалённых троянов, таких как AsyncRAT, NjRAT, Quasar RAT и Remcos RAT, что позволяет обеспечивать долгосрочный контроль над инфицированными системами.
Особое внимание уделяется использованию уязвимости NTLMv2 (CVE-2024-43451), исправленной Microsoft в ноябре 2024 года. Уже через шесть дней после выхода патча, группа внедрила модифицированную версию эксплойта, при которой вредоносный файл с расширением.URL, распространяемый через фишинговые письма, инициирует загрузку и исполнение следующего этапа атаки, дополнительно активируя WebDAV-запросы на уязвимых системах.
Для доставки Remcos RAT злоумышленники используют вредоносный исполняемый файл, защищённый с помощью сервиса HeartCrypt, являющегося вариантом PureCrypter, что обеспечивает дополнительное укрытие от обнаружения. Файлы распространялись через платформы Bitbucket и GitHub, ранее использовавшиеся для обмена легитимными данными.
Перемещение вредоносного кода через сервисы Google Drive, Dropbox, Bitbucket и GitHub позволяет обходить стандартные меры безопасности. Анализ одного из репозиториев выявил использование времени UTC-5, что соответствует часовому поясу нескольких стран Южной Америки, подтверждая географическую привязку группы.
Критической ошибкой в операциях стало обнаружение в истории коммитов GitHub файла «Ver Datos del Formulario.html», содержащего учетные данные для 1 634 уникальных адресов электронной почты. Файл включал логины, пароли, адреса электронной почты, данные для доступа к почтовым системам и PIN-коды банкоматов, что затронуло государственные учреждения, образовательные организации и бизнес-структуры Колумбии; документ был удалён 25 февраля 2025 года.
Эксперты Check Point отмечают быструю адаптацию Blind Eagle к новым эксплойтам и использование специализированных криминальных инструментов, что позволяет группе демонстрировать высокую техническую изощрённость и одновременно выявляет уязвимости в защите критически важных систем, благодаря применению легитимных облачных платформ для распространения вредоносного ПО.
