Эксперты связали группу Blind Eagle с хостинг-провайдером Proton66

Исследователи кибербезопасности из Trustwave SpiderLabs установили с высокой степенью уверенности связь между угрозой Blind Eagle, также известной как APT-C-36 (APT - угроза постоянной продвинутой атаки), и провайдером пуленепробиваемого хостинга Proton66. Группа Blind Eagle активно атакует организации по всей Латинской Америке, уделяя особое внимание финансовым институтам Колумбии.

Описание

Специалисты Trustwave, отслеживающие деятельность Proton66 в течение последних месяцев, смогли установить эту связь, проанализировав активы, связанные с данным хостингом. Это привело к обнаружению другой активной кластерной инфраструктуры, использующей те же сетевые ресурсы (ASN). В результате был выявлен один из самых свежих и оперативно активных кластеров. Для него характерны сильные взаимосвязи между множеством доменов и IP-адресов. Данная инфраструктура использует файлы Visual Basic Script (VBS) в качестве начального вектора атаки, активно полагается на бесплатные сервисы динамического DNS (DDNS) и развертывает легкодоступные трояны удаленного доступа (RAT) в качестве второго этапа вредоносного программного обеспечения.

Отправной точкой анализа стала инфраструктура, связанная с Proton66. В частности, летом 2024 года появилась группа доменов, следовавших определенному шаблону именования. Все эти домены указывали на IP-адрес 45.135.232[.]38, входящий в сетевой блок, ассоциированный с Proton66. Указанные домены использовались для размещения различного зловредного контента, включая фишинговые страницы и VBS-скрипты, служащие начальной стадией развертывания вредоносного ПО. Эти скрипты выступают в роли загрузчиков для инструментов второго этапа, которые в данной кампании ограничены общедоступными, часто открытыми RAT. Анализ некоторых VBS-кодов также выявил совпадения с ранее изученными образцами, сгенерированными инструментом Vbs-Crypter. Этот криптер, связанный с платным сервисом "Crypters and Tools", обычно используется для обфускации и упаковки VBS-полезных нагрузок с целью затруднить статическое обнаружение. Наличие таких артефактов позволяет предположить, что злоумышленники использовали данный сервис для создания своих загрузчиков.

Несмотря на потенциально высокую ценность целей, угрозы практически не предпринимали согласованных усилий для сокрытия своей инфраструктуры. Напротив, в инфраструктуре были обнаружены многочисленные открытые директории, многие из которых содержали идентичные вредоносные файлы. В наиболее вопиющих случаях эти директории содержали полные фишинговые страницы, имитирующие легитимные колумбийские банки и финансовые учреждения, а также вредоносное ПО первой стадии для начала заражения. В одном из идентифицированных кластеров злоумышленники создали фишинговые страницы, имитирующие несколько известных колумбийских финансовых институтов, включая Bancolombia, BBVA, Banco Caja Social и Davivienda.

Эти фишинговые сайты были предназначены для сбора учетных данных пользователей и другой конфиденциальной информации. Сайты включали HTML, CSS и файлы изображений, точно воспроизводящие внешний вид легальных банковских порталов входа. Помимо фишинговых страниц, этот конкретный набор инфраструктуры также размещал различные VBS-скрипты, выполняющие роль первой стадии развертывания вредоносного ПО. Среди идентифицированных образцов были скрипты типа "скачай и запусти", которые загружают зашифрованные исполняемые файлы с удаленного сервера. Например, один из скриптов проверяет, запущен ли VBS-файл с правами администратора, и при отрицательном результате использует методы Windows-скриптов для повторного выполнения с повышенными привилегиями. После успешного повышения прав он добавляет исключение для всего диска C:\ в Защитнике Windows.

В то время как некоторые скрипты имеют узкую цель, большинство работает исключительно как загрузчик первой стадии для одного и того же набора общедоступных RAT второго этапа, следуя единому шаблону. После очистки от 6 000 до 20 000 строк, состоящих в основном из комментариев, наблюдается, что первая часть большинства скриптов сначала создает запланированную задачу в системе. Вторая часть декодирует строку в формате Base64, которая затем выполняется через PowerShell. Далее загружается следующая полезная нагрузка с использованием таких ресурсов, как paste.ee, textbin.net, store3.gofile.io или путем прямого обращения к IPv4-адресам.

Следующая полезная нагрузка обычно представляет собой файл с заголовком MZ, который будет переименован, например, в dll02.txt. Это DLL-файл, который загрузит финальную полезную нагрузку с другого URL. Файл представляет собой еще одну строку Base64, которая также декодируется в файл MZ. Шаблон завершается финальными полезными нагрузками, которыми в этом конкретном кластере являются либо Remcos, либо AsyncRAT. Они затем используются для установки командного управления (C2) через панель управления.

В одном из наблюдаемых случаев такая веб-панель управления ботнетом имела пользовательский интерфейс на бразильском португальском и включала полностью функциональную панель управления для мониторинга скомпрометированных хостов. Эта панель содержала логи жертв, пути развертывания начальных дропперов и ссылки на те же общедоступные RAT, в частности варианты AsyncRAT. Интерфейс управления ботнетом позволяет операторам контролировать зараженные машины, извлекать похищенные данные и взаимодействовать с конечными точками через широкий набор возможностей, типичных для коммерческих пакетов управления RAT.

Такой уровень доступа, предоставляемый через открытую панель управления ботнетом, иллюстрирует не только операционную простоту кампании, но и подтверждает минимальное внимание угроз к сегментации или сокрытию инфраструктуры. Это явный признак приоритета быстрого развертывания и доступности над скрытностью или долгосрочной устойчивостью. Каждый компонент инфраструктуры, включая серверы размещения вредоносного ПО, C2-панели и фишинговые файлы, размещен на доменах с последовательными шаблонами именования, повторным использованием SSL-сертификатов и общими артефактами. Будь то по недосмотру или умыслу, инфраструктура демонстрирует минимальные усилия по сегментации или сокрытию. Многие компоненты, включая приведенные выше примеры C2-панели и VBS-файлов, были общедоступны через открытые директории и часто не имели базовой сегментации.

Эта продолжающаяся активность подчеркивает, как даже не самые сложные инфраструктуры угроз могут приводить к успешным компрометациям, особенно в сочетании с фишинговыми приманками, адаптированными под конкретные региональные цели. Хотя колумбийские финансовые учреждения остаются основным фокусом, общая картина свидетельствует о растущей способности масштабировать операции по всему региону Латинской Америки.

Организациям в LATAM, особенно в финансовом секторе, следует сохранять повышенную бдительность в отношении писем на банковскую тематику, внедрять надежную фильтрацию электронной почты и регулярно обучать сотрудников распознаванию локализованных фишинговых методик. Организации также могут извлечь выгоду из использования продвинутых решений для фильтрации электронной почты, таких как Trustwave MailMarshal, для обнаружения и блокировки вредоносных писем, которые могут содержать опасные вложения или ссылки. Проактивный мониторинг инфраструктуры и индикаторов угроз, нацеленных на регион, может значительно снизить риск компрометации.