Колумбийские учреждения и правительственные организации подверглись серии целевых атак со стороны киберпреступной группы Blind Eagle, действующей как минимум с 2018 года. По данным Check Point, с ноября 2024 года хакеры активизировали атаки, затронувшие более 1600 жертв.
Blind Eagle, также известная как AguilaCiega, APT -C-36 и APT-Q-98, специализируется на атаках в Южной Америке, преимущественно в Колумбии и Эквадоре. Группа применяет методы социальной инженерии, используя фишинговые письма для первоначального проникновения в системы жертв. После этого злоумышленники разворачивают удалённые трояны, такие как AsyncRAT, NjRAT, Quasar RAT и Remcos RAT.
Последние атаки отличаются тремя ключевыми особенностями. Во-первых, хакеры используют модифицированную версию эксплойта для уязвимости CVE-2024-43451 , связанной с раскрытием хэша NTLMv2 в Windows. Microsoft устранила эту проблему в ноябре 2024 года, но Blind Eagle включили её в свой арсенал всего через шесть дней после выпуска исправления.
Во-вторых, злоумышленники прибегли к использованию нового сервиса упаковки вредоносных файлов HeartCrypt, который помогает обходить защитные механизмы. В-третьих, они распространили вредоносное ПО через платформы Bitbucket и GitHub, расширяя спектр используемых легитимных файловых сервисов, помимо Google Drive и Dropbox.
Эксплойт CVE-2024-43451 позволяет атакующим фиксировать взаимодействие пользователей с вредоносным файлом, даже если сам хеш NTLMv2 не раскрывается. В случае уязвимых устройств WebDAV-запрос может срабатывать ещё до того, как жертва откроет файл вручную. На всех системах, вне зависимости от наличия патча, клик по вредоносному URL-файлу инициирует загрузку и выполнение вредоносного кода.
Blind Eagle продемонстрировали способность быстро адаптироваться к изменяющимся условиям кибербезопасности. Check Point отмечает, что использование таких инструментов, как Remcos RAT, HeartCrypt и PureCrypter, указывает на тесные связи группы с теневой киберкриминальной экосистемой.
Дополнительное подтверждение происхождения атак обнаружено в одном из GitHub-репозиториев группы, работающем в часовом поясе UTC-5, что совпадает с рядом стран Южной Америки. Кроме того, в результате ошибки при эксплуатации репозитория исследователи обнаружили файл с 1634 уникальными учётными записями, содержащими имена пользователей, пароли, электронные адреса, а также PIN-коды банкоматов. Файл “Ver Datos del Formulario.html” был удалён 25 февраля 2025 года, но специалисты Check Point успели его проанализировать.
Blind Eagle успешно использует легитимные файлообменные платформы для обхода традиционных мер защиты, что делает их атаки труднообнаруживаемыми. Применение подпольных киберпреступных инструментов позволяет группе разрабатывать сложные методы уклонения и сохранять долгосрочный доступ к заражённым системам.