Специалисты исследовательского подразделения ThreatLabz компании Zscaler в начале сентября 2025 года обнаружили новую целевую фишинговую кампанию, которую с уверенностью средней степени связывают с угрозой BlindEagle. Эта группа, действующая в Южной Америке, вновь нацелилась на испаноязычные страны, на этот раз выбрав в качестве цели правительственное учреждение в Колумбии, подконтрольное Министерству торговли, промышленности и туризма (MCIT). Атака началась с фишингового письма, отправленного, по всей видимости, со скомпрометированного аккаунта внутри самой целевой организации, что позволило злоумышленникам злоупотребить доверием и обойти системы безопасности электронной почты.
Описание
Кампания демонстрирует эволюцию методов BlindEagle. Вместо развертывания единичного вредоносного ПО группа использует сложную многослойную цепочку атаки. Новым элементом стал загрузчик Caminho, который, вероятно, был приобретен на подпольных форумах. Его основной задачей является доставка финальной полезной нагрузки - трояна удаленного доступа (RAT) DCRAT. Этот переход на более сложные схемы указывает на рост возможностей и ресурсов угрозы.
Атака началась с тщательно подготовленного фишингового письма, имитирующего официальное уведомление судебной системы Колумбии. Письмо содержало ссылку на вложенное SVG-изображение, которое при клике декодировало и открывало поддельный веб-портал судебной власти. Этот портал автоматически загружал JavaScript-файл, маскирующийся под судебный документ. Запуск этого файла инициировал безфайловую цепочку исполнения, состоящую из нескольких вложенных JavaScript-сценариев.
Каждый последующий скрипт отвечал за деобфускацию и запуск следующего этапа. Финальный JavaScript-код выполнял команду PowerShell, которая, в свою очередь, загружала изображение с легитимного сервиса Internet Archive. В этом изображении с помощью стеганографии была скрыт полезная нагрузка, в Base64 кодировке. PowerShell-скрипт извлекал его, декодировал и динамически загружал в память как сборку .NET. Эта сборка и оказалась загрузчиком Caminho.
Основная функция Caminho заключалась в получении следующей стадии атаки. Загрузчик обращался к ресурсу на платформе Discord, чтобы скачать файл AGT27.txt прямо в оперативную память, минуя диск. Содержимое файла, также закодированное и обращенное, деобфусцировалось, после чего Caminho внедрял финальную полезную нагрузку в полость легитимного процесса MSBuild.exe, используя технику Process Hollowing. Этой нагрузкой стал троянец DCRAT, открытый вариант AsyncRAT, написанный на C#.
DCRAT обладает широким набором функций для удаленного контроля, включая кейлоггинг и доступ к файловой системе. В данной кампании его конфигурация была зашифрована с использованием AES-256, а для аутентификации командного сервера применялся цифровой сертификат. Анализ этого сертификата позволил исследователям выявить 24 хоста по всему миру, использующих сертификат от того же издателя. При этом лишь часть из них, вероятно, принадлежит инфраструктуре BlindEagle, поскольку DCRAT является общедоступным инструментом.
Атрибуция кампании BlindEagle основана на нескольких факторах. Во-первых, инфраструктура командного сервера DCRAT использовала хостинг-провайдера GleSYS AB и динамический DNS-сервис ydns[.]eu, что ранее документировалось в операциях этой группы. Во-вторых, целевая география - Колумбия и ее государственные учреждения - соответствует многолетнему фокусу активности BlindEagle. В-третьих, тематика фишинговых писем, имитирующих судебные уведомления, является фирменным приемом группы. Наконец, использование .NET-инструментов, легитимных сервисов вроде Discord и стеганографии также вписывается в известные тактики, техники и процедуры (TTP) этой угрозы.
Примечательно, что в коде Caminho присутствуют португальские слова, что указывает на возможное происхождение этого загрузчика из португалоязычного киберпреступного сообщества, возможно, бразильского. BlindEagle ранее уже была замечена в использовании инструментов, распространяемых в этой среде. Данная кампания наглядно показывает, как группы угроз, подобные BlindEagle, коммерциализируют свои операции, интегрируя готовые инструменты в свои атаки, что повышает их сложность и эффективность. Эксперты ThreatLabz продолжают мониторинг активности BlindEagle для обеспечения защиты пользователей.
Индикаторы компрометации
Domains
- startmenuexperiencehost.ydns.eu
URLs
- https://archive.org/download/optimized_msi_20250821/optimized_MSI.png
MD5
- 4284e99939cebf40b8699bed31c82fd6
- 961ebce4327b18b39630bfc4edb7ca34
- 9799484e3942a6692be69aec1093cb6c
- 97adb364d695588221d0647676b8e565
- bbb99dfd9bf3a2638e2e9d13693c731c
- c98eb5fcddf0763c7676c99c285f6e80
- d80237d48e1bbc2fdda741cbf006851a
SHA1
- 21e95fed5fc5c4a10fafbc3882768cce1f6cd7af
- 38b0e360d58d4ddb17c0a2c4d97909be43a3adc0
- 3983a5b4839598ba494995212544da05087b811b
- 3ab2aa4e9a7a8abcf1ea42b51152f6bb15a1b3c5
- 4397920a0b08a31284aff74a0bed9215d5787852
- 722a4932576734a08595c7196d87395e6ec653d7
- b3fb8a805d3acc2eda39a83a14e2a73e8b244cf4
SHA256
- 03548c9fad49820c52ff497f90232f68e044958027f330c2c51c80f545944fc1
- 08a5d0d8ec398acc707bb26cb3d8ee2187f8c33a3cbdee641262cfc3aed1e91d
- 8f3dc1649150961e2bac40d8dabe5be160306bcaaa69ebe040d8d6e634987829
- c208d8d0493c60f14172acb4549dcb394d2b92d30bcae4880e66df3c3a7100e4
- d0fe6555bc72a7a45a836ea137850e6e687998eb1c4465b8ad1fb6119ff882ab
- d139bfe642f3080b461677f55768fac1ae1344e529a57732cc740b23e104bff0
- e7666af17732e9a3954f6308bc52866b937ac67099faa212518d5592baca5d44
