Grupa naprednih stalnih prijetnji APT-C-36, poznata i kao Blind Eagle, od 2018. godine predstavlja značajnog kibernetičkog protivnika koji cilja na ključne sektore širom Latinske Amerike. Ovaj sofisticirani akter u prijetnjama posvetio se napadima na kolumbijske organizacije, sprovodeći koordinirane akcije protiv vladinih institucija, finansijskih organizacija i kritične infrastrukture putem pažljivo planiranih kampanja obmanjivanja i distribucije Trojana za daljinski pristup (RAT).
Metodologija djelovanja grupe zasniva se na tehnikama društvenog inženjeringa, pri čemu se primarno koriste imejlovi koji sadrže zlonamjerne URL-ove za pokretanje procesa kompromitovanja. Blind Eagle je pokazao izvanrednu prilagodljivost u svojim vektorima napada, posebno iskorištavanjem ranjivosti poput CVE-2024-43451, propusta u Microsoft Windows operativnom sistemu koji omogućava otkrivanje NTLMv2 heševa lozinki uz minimalnu interakciju korisnika sa zlonamjernim datotekama. Uprkos tome što je Microsoft izdao zakrpu u novembru 2024. godine, akteri u prijetnjama nastavili su da koriste mehanizam minimalne interakcije, razvijajući svoje tehnike radi održavanja operativne efikasnosti.
Nedavne obavještajne informacije prikupljene od novembra 2024. otkrivaju tekuću kampanju u kojoj su članovi Blind Eaglea usavršili svoje mehanizme isporuke. Kada ciljani primaoci kliknu na zlonamjerne URL-ove, slijed napada pokreće WebDAV zahtjev putem HTTP porta 80, koristeći prepoznatljivi korisnički agent string ‘Microsoft-WebDAV-MiniRedir/10.0.19044’. WebDAV, protokol koji omogućava prijenos datoteka i direktorija preko interneta, postaje kanal za isporuku sljedeće faze tereta i izvršavanje zlonamjernog softvera na kompromitovanim sistemima.
Analitičari kompanije Darktrace identifikovali su značajnu operaciju Blind Eaglea krajem februara 2025. godine na mreži kolumbijske klijentice, gdje su akteri u prijetnjama demonstrirali sposobnost da završe puni ciklus napada u roku od pet sati. Analiza je pokazala da se kompromitovani uređaj povezao sa eksternom IP adresom 62[.]60[.]226[.]112, geolociranom u Njemačkoj, prije preuzimanja izvršnog tereta ‘hxxp://62[.]60[.]226[.]112/file/3601_2042.exe’.
Analiza komandno-kontrolne arhitekture napada otkriva sofisticirane mjere operativne sigurnosti. Nakon početnog kompromitovanja, zaraženi uređaj je uspostavio komunikaciju sa dinamičkim DNS krajnjim tačkama, specifično ’21ene.ip-ddns[.]com’ i ‘diciembrenotasenclub[.]longmusic[.]com’, koristeći TCP port 1512 za izvršavanje komandi. Dinamičke DNS usluge pružaju akterima u prijetnjama otpornu infrastrukturu automatskim ažuriranjem DNS zapisa prilikom promjene IP adresa, omogućavajući postojan pristup uprkos mrežnim zaštitama. Istraga je otkrila aktivnosti izdvajanja podataka ukupne veličine 65,6 MiB na obje krajnje tačke, pri čemu je 60 MiB preneseno na primarni komandni server, a 5,6 MiB na sekundarnu infrastrukturu, što pokazuje sistematski pristup grupe krađi podataka iz kompromitovanih okruženja.
