Установлена связь между Blind Eagle и хостинг-провайдером Proton66

Расследование, длившееся несколько месяцев, позволило выявить операционную инфраструктуру угрозы через анализ активов Proton66, что привело к обнаружению кластера вредоносных доменов, использующих те же сетевые ресурсы ASN. Данная инфраструктура характеризуется уникальными техническими особенностями: VBS-скрипты как первичный вектор атак, активное применение бесплатных DDNS-сервисов и использование доступных троянов удаленного доступа (RAT) на втором этапе компрометации.

Отправной точкой расследования стали домены, зарегистрированные летом 2024 года через сервис DuckDNS.org. Все они разрешались на IP-адрес 45.135.232[.]38, входящий в сетевой блок Proton66. Эти домены использовались для размещения фишинговых страниц и вредоносных скриптов. Анализ VBS-файлов выявил применение обфускатора Vbs-Crypter - коммерческого инструмента, рекламируемого в Telegram-канале "Crypters and Tools". Этот сервис помогает злоумышленникам затруднять статическое обнаружение, шифруя полезную нагрузку. Примечательно, что, несмотря на высокую ценность целей, авторы кампании почти не маскировали инфраструктуру. Многие серверы содержали открытые директории с дублирующимися вредоносными файлами, включая детально воссозданные фишинговые страницы банков Bancolombia, BBVA, Banco Caja Social и Davivienda. Эти сайты, скопировавшие дизайн легитимных онлайн-банков, собирали учетные данные клиентов.

Техническая механика атак демонстрирует стандартизированный подход. VBS-скрипты выполняют несколько ключевых действий: проверяют административные привилегии, добавляют исключения в Защитник Windows для диска C:\, удаляют связанные с COM/ActiveX ключи реестра. После очистки избыточного кода скрипты создают запланированную задачу через команду schtasks /create для периодического выполнения. Вторая стадия включает декодирование Base64-строки и ее запуск через PowerShell. Полученный код загружает следующую полезную нагрузку с ресурсов вроде paste[.]ee или textbin[.]net, либо напрямую с IP-адресов. Загружаемый файл, маскируемый под текстовый документ (например, dll02.txt), является DLL-библиотекой, которая, в свою очередь, запрашивает финальный модуль. В данном кластере им выступают трояны Remcos или AsyncRAT, обеспечивающие связь с командным сервером.

Управление скомпрометированными системами осуществляется через веб-панель на бразильском португальском. На момент анализа она контролировала 264 зараженных устройства, преимущественно в Аргентине. Интерфейс предоставляет полный спектр возможностей: просмотр логов, выполнение команд, эксфильтрация файлов, загрузка дополнительных модулей по URL. Панель содержала ссылки на открытые исходные коды RAT, что подчеркивает зависимость от доступных инструментов. Отсутствие базовых мер безопасности - публичный доступ к панелям управления, дублирование SSL-сертификатов, единые шаблоны именования доменов - указывает на приоритет скорости развертывания над скрытностью. Злоумышленники явно полагаются на социальную инженерию, а не техническую изощренность.

Угроза остается актуальной для всей Латинской Америки. Эксперты Trustwave рекомендуют финансовым организациям региона усилить фильтрацию электронной почты для блокировки вредоносных вложений, проводить регулярное обучение сотрудников распознаванию фишинга. Мониторинг целевых инфраструктурных шаблонов и своевременное применение IoC (индикаторов компрометации) позволят снизить риски. Данный случай демонстрирует, что даже низкотехнологичные атаки могут быть успешными при точном таргетировании и игнорировании базовой кибергигиены.

IPv4

• 107.172.31.5
• 159.148.88.218
• 181.206.158.190
• 209.105.248.135
• 45.135.232.38

Domains

• asynpro.duckdns.org
• drgost.duckdns.org
• driveswindows.duckdns.org
• dxpam.duckdns.org
• testedark.writesthisblog.com