Группа киберпреступников Blind Eagle (известная также как APT-C-36) с 2018 года активно атакует организации в Латинской Америке, особенно в Колумбии. Их цель - государственные учреждения, финансовый сектор и критическая инфраструктура. В последних кампаниях злоумышленники используют фишинговые письма с вредоносными ссылками, эксплуатируя уязвимости в системах жертв. В феврале 2025 года Darktrace обнаружила активность Blind Eagle в сети одной из колумбийских компаний, зафиксировав цепочку действий от заражения до утечки данных.
Описание
Атаки Blind Eagle начинаются с фишинга. В ноябре 2024 года злоумышленники начали новую кампанию, рассылая письма с вредоносными ссылками, которые при переходе загружают на устройство жертвы вредоносный файл. Даже после того, как Microsoft выпустила патч для уязвимости CVE-2024-43451 (позволявшей раскрытие хешей NTLMv2), Blind Eagle продолжили использовать схожий механизм. Вместо кражи хешей они заставляют пользователей загружать файлы, которые при минимальном взаимодействии (например, при открытии) инициируют WebDAV-запросы для загрузки вредоносного ПО.
В конце февраля 2025 года система Darktrace зафиксировала подозрительную активность в сети колумбийской организации. В течение пяти часов устройство в сети клиента было перенаправлено через подозрительный IP-адрес в Германии (62.60.226.112), загрузило исполняемый файл (3601_2042.exe) и начало передачу данных через динамический DNS-адрес (21ene.ip-ddns.com). Этот метод часто используется злоумышленниками для скрытия командных серверов.
Darktrace также обнаружила использование протокола WebDAV (с user agent «Microsoft-WebDAV-MiniRedir/10.0.19045») и последующее подключение к подозрительному домену diciembrenotasenclub.longmusic.com. Устройство передало 60 МБ и 5,6 МБ данных на эти адреса, что указывало на утечку информации.
Активность Blind Eagle демонстрирует, что даже после закрытия уязвимостей злоумышленники адаптируют методы. Фишинг остается ключевым вектором атак, а использование динамических DNS и WebDAV усложняет обнаружение. Darktrace показала, что современные системы ИБ способны выявлять сложные атаки в режиме реального времени, но для эффективной защиты критически важно использовать автономные механизмы реагирования. Компаниям в Латинской Америке и других регионах стоит усилить защиту от фишинга, мониторинг необычных соединений и применять решения с AI-аналитикой для предотвращения утечек данных.
Текущая ситуация с Blind Eagle подтверждает, что киберугрозы развиваются, и только комплексный подход к защите, включающий проактивное обнаружение и автоматизированные меры противодействия, может минимизировать риски.
Индикаторы компрометации
IPv4
- 62.60.226.112
Domains
- 21ene.ip-ddns.com
- diciembrenotasenclub.longmusic.com
URLs
- http://62.60.226.112/file/3601_2042.exe
