Blind Eagle усилила методы противодействия в новых кибератаках на Южную Америку

Согласно техническому анализу, атака начинается с целевой фишинг-рассылки. Злоумышленники рассылают письма под видом документов судебных органов Колумбии, содержащие SVG-файл с ссылкой на Bitbucket - легитимную платформу для хостинга кода.

Жертвам предлагается скачать ZIP-архив, защищенный паролем, который распространяется через этот сервис. Внутри архива находятся исполняемый файл и три DLL-библиотеки, маскирующиеся под компоненты ПО GitKraken. Ключевым элементом атаки выступает вредоносная библиотека libnettle-8.dll, которая активируется при запуске легитимного EXE-файла через механизм side-loading.

Новым элементом тактики Blind Eagle стало применение многоуровневых методов противодействия анализу. Исследователи обнаружили в коде массовое внедрение ложных управляющих конструкций, затрудняющих статический анализ. Критические функции подверглись контрфлоу-обфускации - технике "сплющивания потока управления", радикально повышающей сложность реверс-инжиниринга. Вредонос дополнительно проверяет среду выполнения через низкоуровневые методы: инструкцию CPUID и API-функцию EnumSystemFirmwareTables для выявления виртуальных машин. При обнаружении признаков песочницы или анализа программа прекращает работу.

После успешного запуска малвар собирает системную информацию: имя компьютера, данные пользователя, версию ОС, характеристики CPU, размер памяти, локальный IP-адрес и наличие .NET Framework. Для обеспечения персистентности создается скрытая директория %USERPROFILE%SystemRootDoc, куда копируются все файлы, после чего прописывается автозагрузка через раздел реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run. Финальным этапом становится внедрение в легитимные процессы .NET Framework (AddInProcess32.exe, msbuild.exe, Installutil.exe) через технику process hollowing. Используя вызовы NtAllocateVirtualMemory и NtWriteVirtualMemory, злоумышленники подменяют код целевого процесса на вредоносную нагрузку перед его запуском.

Основным инструментом контроля служит модифицированная версия открытого RAT-инструмента DcRat, обозначенная как "client-envio". Конфигурация клиента включает AES-256 ключ шифрования "6ccEvxWwGHgRp3f99MTUNiV4xmDJ5F5p", C2-сервер envio16-05.duckdns.org и порт 3020. Хотя в настройках отключены модули антивиртуализации и антианализа, исследователи отмечают, что операторы могут дистанционно активировать эти функции через сервер. Встроенные возможности включают детектирование ВМ через WMI-запросы, убийство процессов анализаторов (ProcessHacker, Process Explorer) и механизмы персистентности через реестр или командную строку.

Атрибуция атаки группе Blind Eagle подтверждается несколькими факторами. Целевой профиль (госучреждения, финансовый сектор Колумбии) соответствует историческим кампаниям группы. Техника внедрения в процесс msbuild.exe методом process hollowing документирована в предыдущих операциях. Использование DcRat в качестве финальной нагрузки и инфраструктуры DuckDNS с хостингом на Bitbucket также характерны для этого APT-кластера. Эксперты особо отмечают беспрецедентный для Blind Eagle уровень противодействия: сочетание антиэмуляционных техник и обфускации представляет новую ступень эволюции угрозы для региона.

IPv4

• 146.70.137.90

Domains

• envio16-05.duckdns.org

MD5

• 909e67e107ddfcb624d7e4d34efcaa13
• a4aa4d783f8d8731fcc30f32f3b4be9c
• d7476e95c65de32abb9d8128a7d61a61