Napredna prijetnja skupine APT-C-36, poznata i kao Blind Eagle, od 2018. godine predstavlja značajnog kibernetičkog protivnika koji cilja ključne sektore širom Latinske Amerike.
Ovaj sofisticirani akter prijetnji pokazuje postojan fokus na kolumbijske organizacije, pokrećući koordinirane napade na vladine institucije, finansijske organizacije i kritičnu infrastrukturu putem pažljivo orkestriranih phishing kampanja i implementacije Trojanskih konja za daljinski pristup (RATs).
Operativna metodologija grupe usredsređena je na taktike socijalnog inženjeringa, primarno koristeći phishing e-poštu koja sadrži zlonamjerne URL-ove za pokretanje sekvenci kompromitovanja.
Blind Eagle je pokazao izvanrednu prilagodljivost u svojim vektorima napada, posebno iskorištavajući ranjivosti poput CVE-2024-43451, propusta u Microsoft Windows-u koji omogućava otkrivanje NTLMv2 hash-eva lozinki uz minimalnu interakciju korisnika sa zlonamjernim datotekama.
Uprkos izdavanju Microsoft-ovog zakrpe u novembru 2024., akteri prijetnji nastavili su iskoristavati mehanizam minimalne interakcije, razvijajući svoje tehnike kako bi održali operativnu efikasnost.
Nedavne obavještajne informacije prikupljene od novembra 2024. otkrivaju tekuću kampanju u kojoj su članovi Blind Eagle-a usavršili svoje mehanizme isporuke.
Kada ciljani primaoci kliknu na zlonamjerne URL-ove, sekvenca napada pokreće WebDAV zahtjev preko HTTP porta 80, koristeći prepoznatljivi string korisničkog agenta ‘Microsoft-WebDAV-MiniRedr/10.0.19044’.
WebDAV, protokol koji omogućava prijenos datoteka i direktorija preko interneta, postaje kanal za isporuku sljedeće faze tereta i izvršavanje zlonamjernog softvera na kompromitovanim sistemima.
Analitičari Darktrace-a identifikovali su značajnu operaciju Blind Eagle-a krajem februara 2025. na mrežnom kupcu u Kolumbiji, gdje su akteri prijetnji demonstrirali svoju sposobnost da završe puni ciklus napada u roku od pet sati.
Analiza je otkrila da je kompromitovani uređaj uspostavio vezu s vanjskom IP adresom 62[.]60[.]226[.]112, geolociranom u Njemačkoj, prije preuzimanja izvršnog tereta ‘hxxp://62[.]60[.]226[.]112/file/3601_2042.exe’.
Analiza komandne i kontrolne arhitekture napada otkriva sofisticirane operativne sigurnosne mjere.
Nakon početnog kompromitovanja, zaraženi uređaj je uspostavio komunikaciju sa dinamičkim DNS krajnjim tačkama, specifično ’21ene.ip-ddns[.]com’ i ‘diciembrenotasenclub[.]longmusic[.]com’, koristeći TCP port 1512 za izvršavanje komandi.
Dinamičke DNS usluge pružaju akterima prijetnji otpornu infrastrukturu automatskim ažuriranjem DNS zapisa kada se IP adrese promijene, omogućavajući trajni pristup uprkos mrežnim odbranama.
Istraživanje je otkrilo aktivnosti eksfiltracije podataka ukupne veličine 65.6 MiB na obje krajnje tačke, sa 60 MiB prenesenim na primarni komandni server i 5.6 MiB na sekundarnu infrastrukturu, pokazujući sistematičan pristup grupe krađi podataka iz kompromitovanih okruženja.
Upozorenje od strane kibernetičkih stručnjaka: Napredna grupa prijetnji poznata kao APT-C-36, također identificirana kao Blind Eagle, aktivno je ciljala vladine institucije, financijske organizacije i kritičnu infrastrukturu u Latinskoj Americi, sa posebnim naglaskom na Kolumbiju, još od 2018. godine. Ove aktivnosti su detaljno objavljene na platformama kao što je Cyber Security News, a također su zabilježene od strane istraživača iz kompanije Darktrace, čiji su nalazi objavljeni na njihovom blogu.
Metodologija napada se uglavnom oslanja na taktike socijalnog inženjeringa. Prevaranti šalju ciljane phishing e-poruke koje sadrže zlonamjerne URL-ove. Kada žrtva klikne na ove linkove, to pokreće sekvencu napada. Ova sekvenca može uključivati korištenje ranjivosti poput CVE-2024-43451 u Microsoft Windows-u, što omogućava prevarantima da dobiju lozinke (NTLMv2 hash-eve) sa minimalnom interakcijom korisnika. U jednom nedavnom primjeru, napadači su koristili zlonamjernu web stranicu koja je putem WebDAV protokola tražila pristup sistemu žrtve, koristeći specifičan “user agent” string. Ovo je omogućilo preuzimanje i izvršavanje zlonamjernog softvera, često u roku od nekoliko sati, što ukazuje na visoku efikasnost i brzinu napada. Prevaranti potom koriste dinamičke DNS usluge za održavanje uporne veze sa kompromitovanim sistemima, omogućavajući im da nastave sa aktivnostima kao što je eksfiltracija podataka.
Detalji incidenta: U jednom zabilježenom slučaju, grupa Blind Eagle je u februaru 2025. izvršila potpuni napadni ciklus unutar pet sati na mrežu kolumbijskog kupca. Kompromitovani uređaj je uspostavio vezu sa IP adresom u Njemačkoj, preuzimajući izvršni fajl sa naznačenog URL-a. Nadalje, otkriveno je da je napad uključivao uspostavljanje komunikacije sa dinamičkim DNS servisima putem TCP porta 1512, što je klasičan način za uspostavljanje komandnih i kontrolnih servera. Analiza je također pokazala značajnu eksfiltraciju podataka, sa ukupno 65.6 MiB prenesenih na servere napadača, što naglašava finansijski ili špijunski motiv iza ovakvih operacija.