Grupa naprednih, upornih prijetnji APT-C-36, poznata i kao “Slijepi orao” (Blind Eagle), od 2018. godine predstavlja značajnu kibernetičku prijetnju za ključne sektore širom Latinske Amerike.
Ovaj sofisticirani akter u oblasti kibernetičkih prijetnji usmjeren je na kolumbijske organizacije, sprovodeći koordinirane napade na vladine institucije, finansijske organizacije i kritičnu infrastrukturu putem pažljivo planiranih kampanja za krađu identiteta (phishing) i implementacije Trojana za daljinski pristup (RATs).
Metodologija rada ove grupe zasniva se na tehnikama socijalnog inženjeringa, pri čemu se uglavnom koriste elektronske poruke za krađu identiteta koje sadrže zlonamjerne hiperveze, što inicira sekvence kompromitovanja.
“Slijepi orao” je pokazao izvanrednu prilagodljivost u svojim vektorima napada, posebno eksploatišući ranjivosti kao što je CVE-2024-43451, propust u sistemu Microsoft Windows koji omogućava otkrivanje NTLMv2 heševa lozinki uz minimalnu interakciju korisnika sa zlonamjernim datotekama.
Uprkos izdavanju zakrpe od strane Microsofta u novembru 2024. godine, akteri prijetnji su nastavili koristiti mehanizam minimalne interakcije, razvijajući svoje tehnike radi očuvanja operativne efikasnosti.
Nedavne obavještajne informacije prikupljene od novembra 2024. godine ukazuju na tekuću kampanju u kojoj su članovi grupe “Slijepi orao” usavršili svoje mehanizme isporuke.
Kada ciljane osobe kliknu na zlonamjerne hiperveze, slijed napada pokreće WebDAV zahtjev putem HTTP porta 80, koristeći prepoznatljivu korisničku oznaku ‘Microsoft-WebDAV-MiniRedir/10.0.19044’.
WebDAV, protokol koji omogućava prenos datoteka i direktorija preko interneta, postaje sredstvo za isporuku sljedeće faze tereta i izvršavanje zlonamjernog softvera na kompromitovanim sistemima.
Analitičari kompanije Darktrace identifikovali su značajnu operaciju grupe “Slijepi orao” krajem februara 2025. godine u mreži kolumbijske klijentice, gdje su akteri prijetnji pokazali sposobnost dovršetka punog ciklusa napada u roku od pet sati.
Analiza je otkrila da je kompromitovani uređaj uspostavio vezu sa vanjskom IP adresom 62[.]60[.]226[.]112, geolociranom u Njemačkoj, prije preuzimanja izvršnog tereta ‘hxxp://62[.]60[.]226[.]112/file/3601_2042.exe’.
Analiza komandno-kontrolne arhitekture napada otkriva sofisticirane mjere operativne sigurnosti.
Nakon inicijalnog kompromitovanja, zaraženi uređaj je uspostavio komunikaciju sa dinamičkim DNS端點ima, konkretno ’21ene.ip-ddns[.]com’ i ‘diciembrenotasenclub[.]longmusic[.]com’, koristeći TCP port 1512 za izvršavanje komandi.
Usluge dinamičkog DNS-a pružaju akterima prijetnji otpornu infrastrukturu automatskim ažuriranjem DNS zapisa prilikom promjene IP adresa, omogućavajući trajni pristup uprkos mrežnim odbranama.
Istraga je otkrila aktivnosti iznošenja podataka (data exfiltration) ukupne zapremine od 65.6 MiB preko oba端點a, pri čemu je 60 MiB preneseno na primarni komandni server, a 5.6 MiB na sekundarnu infrastrukturu, što ukazuje na sistematičan pristup grupe krađi podataka iz kompromitovanih okruženja.