L’attore della minaccia noto come Aquila cieca è stato collegato a una serie di campagne in corso mirano alle istituzioni colombiane e alle entità governative dal novembre 2024.
“Le campagne monitorate miravano alle istituzioni giudiziarie colombiane e advert altre organizzazioni governative o personal, con alti tassi di infezione” disse in una nuova analisi.
“Più di 1.600 vittime sono state colpite durante una di queste campagne che si sono svolte intorno al 19 dicembre 2024. Questo tasso di infezione è significativo considerando l’approccio appropriato mirato di Blind Eagle.”
Blind Eagle, attiva da almeno il 2018, è anche monitorata come Aguilaciega, APT-C-36 e APT-Q-98. Suo conosciuto Per il suo concentrating on iper-specifico delle entità in Sud America, in particolare la Colombia ed Ecuador.
Le catene di attacco orchestrate dall’attore delle minacce comportano l’uso di tattiche di ingegneria sociale, spesso sotto forma di e-mail di phishing della lancia, per ottenere l’accesso iniziale ai sistemi goal e in definitiva abbandonare i trojani a remoto facilmente disponibili come asyncrat, NJRAT, ratto di quasar e ratto Remcos.
L’ultimo set di intrusioni è notevole per tre motivi: l’uso di una variante di un exploit per un difetto di Microsoft Home windows ormai abbinato (CVE-2024-43451), l’adozione di un nascente packer-as-a-service (PAAS) chiamato Heartcrypte la distribuzione dei payload tramite Bitbucket e GitHub, andando oltre Google Drive e Dropbox.
In particolare, il cuore del cuore viene utilizzato per proteggere l’eseguibile dannoso, una variante di PureCrypter Ciò è quindi responsabile del lancio del malware REMCOS RAT ospitato su un repository Bitbucket o GitHub ormai rimosso.
CVE-2024-43451 si riferisce a una vulnerabilità di divulgazione di hash NTLMV2 che è stata fissata da Microsoft nel novembre 2024. Blind Eagle, per punto di controllo, incorporava una variante di questo exploit nel suo attacco Arsenal A solo sei giorni dopo il rilascio dopo il rilascio della patch.
“Sebbene questa variante non espanda effettivamente l’hash NTLMV2, notifica agli attori delle minacce che il file è stato scaricato dalle stesse insolite interazioni in file utente”, ha affermato la società di sicurezza informatica.
“Sui dispositivi vulnerabili a CVE-2024-43451, una richiesta WebDAV viene attivata anche prima che l’utente interagisca manualmente con il file con lo stesso comportamento insolito. Nel frattempo, su sistemi patch e non impacciati, facendo clic manualmente al file dannoso. Eurl avvia il obtain e l’esecuzione del carico di pagamento dello stage successivo.”
Examine Level ha sottolineato che la “risposta rapida” serve a evidenziare le competenze tecniche del gruppo e la sua capacità di adattarsi e perseguire nuovi metodi di attacco di fronte alle difese di sicurezza in evoluzione.
Servire da pistola fumante per le origini dell’attore di minaccia è il repository GitHub, che ha rivelato che l’attore delle minacce opera nel fuso orario UTC-5, allineandosi con diversi paesi del Sud America.
Non è tutto. In quello che sembra essere un errore operativo, un’analisi della cronologia del commit del repository ha scoperto un file contenente coppie di parole account con 1.634 indirizzi e-mail unici.
Mentre il file HTML, chiamato “Ver Datos Del Formulario.html”, è stato eliminato dal repository il 25 febbraio 2025, è stato scoperto che contiene dettagli come nomi utente, password, e -mail, password e -mail e pin bancomat associati a persone, agenzie governative, istituzioni educative e aziende che operano in Colombia.
“Un fattore chiave per il suo successo è la sua capacità di sfruttare le legittime piattaforme di condivisione di file, tra cui Google Drive, Dropbox, Bitbucket e GitHub, consentendole di aggirare le tradizionali misure di sicurezza e distribuire malware in modo furbo”, ha affermato Management Level.
“Inoltre, il suo uso di strumenti di Crimeware sotterranei come Remcos Rat, Heartcrypt e PureCrypter rafforza i suoi profondi legami con l’ecosistema criminale informatico, concedendo l’accesso a sofisticate tecniche di evasione e metodi di accesso persistenti.”
