Grupa APT-C-36, poznata kao Blind Eagle, od 2018. godine predstavlja ozbiljnu prijetnju u cyber prostoru, usmjeravajući svoje napade na ključne sektore širom Latinske Amerike.
Ovaj napredni i uporni akter demonstrira konstantnu usmjerenost na kolumbijske organizacije, sprovodeći koordinisane napade na vladine institucije, finansijske organizacije i kritičnu infrastrukturu putem pažljivo planiranih phishing kampanja i distribucije Trojana za daljinski pristup (RAT).
Operativna metodologija grupe se uglavnom oslanja na taktike socijalnog inženjeringa, pri čemu se primarno koriste phishing e-poruke koje sadrže zlonamjerne URL linkove kako bi se pokrenuli procesi kompromitovanja.
Blind Eagle je pokazao značajnu prilagodljivost u svojim vektorima napada, posebno u iskorištavanju ranjivosti kao što je CVE-2024-43451, propust u Microsoft Windows-u koji omogućava otkrivanje NTLMv2 hash-eva lozinki uz minimalnu interakciju korisnika sa zlonamjernim datotekama.
Uprkos objavljivanju zakrpe od strane Microsofta u novembru 2024. godine, akteri prijetnje su nastavili koristiti mehanizam minimalne interakcije, razvijajući svoje tehnike kako bi održali operativnu efikasnost.
Nedavne informacije prikupljene od novembra 2024. godine ukazuju na tekuću kampanju u kojoj su akteri Blind Eagle-a usavršili svoje mehanizme isporuke.
Kada ciljani primaoci kliknu na zlonamjerne URL-ove, slijed napada pokreće WebDAV zahtjev putem HTTP porta 80, koristeći prepoznatljiv niz korisničkog agenta ‘Microsoft-WebDAV-MiniRedir/10.0.19044’.
WebDAV, kao protokol koji omogućava prenos datoteka i direktorija preko interneta, postaje sredstvo za isporuku slijedeće faze opterećenja i izvršavanje zlonamjernog softvera na kompromitovanim sistemima.
Analitičari kompanije Darktrace identificirali su značajnu operaciju Blind Eagle-a krajem februara 2025. godine na mreži kolumbijskog klijenta, gdje su akteri prijetnje pokazali sposobnost dovršavanja potpunog ciklusa napada u roku od pet sati.
Analiza je otkrila da se kompromitovani uređaj povezivao sa eksternom IP adresom 62[.]60[.]226[.]112, geolociranom u Njemačkoj, prije preuzimanja izvršnog opterećenja ‘hxxp://62[.]60[.]226[.]112/file/3601_2042.exe’.
Analiza komandne i kontrolne arhitekture napada otkriva sofisticirane operativne mjere sigurnosti.
Nakon početnog kompromitovanja, zaraženi uređaj je uspostavio komunikaciju sa dinamičkim DNS krajnjim tačkama, specifično ’21ene.ip-ddns[.]com’ i ‘diciembrenotasenclub[.]longmusic[.]com’, koristeći TCP port 1512 za izvršavanje komandi.
Usluge dinamičkog DNS-a pružaju akterima prijetnje otpornu infrastrukturu automatskim ažuriranjem DNS zapisa kada se IP adrese promijene, čime se omogućava trajan pristup uprkos odbrambenim mehanizmima mreže.
Istraga je otkrila aktivnosti izlučivanja podataka ukupne količine od 65.6 MiB na obje krajnje tačke, pri čemu je 60 MiB preneseno na primarni komandni server, a 5.6 MiB na sekundarnu infrastrukturu, demonstrirajući sistematičan pristup grupe krađi podataka iz kompromitovanih okruženja.