自2018年以来,APT-C-36(又名 Blind Eagle,盲鹰)这一高级持续性威胁组织,已成为拉丁美洲多个关键行业面临的重要网络对手。该组织持续针对哥伦比亚的政府机构、金融组织以及关键基础设施发起有组织的攻击,攻击方式主要依赖精心设计的钓鱼邮件活动及远程访问木马(RAT)部署。
该组织的主要作战方法以社会工程为核心,常通过包含恶意链接的钓鱼邮件引导目标点击,从而启动攻击链。Blind Eagle 在攻击手段上的适应性极强,近期尤其善于利用 CVE-2024-43451 等漏洞 —— 这是一个微软 Windows 漏洞,仅需极少用户交互即可导致 NTLMv2 密码哈希值泄露。
尽管微软已于2024年11月发布补丁,但该组织仍持续利用低交互机制,演化其攻击方式以保持作战有效性。
自2024年11月以来的最新威胁情报显示,Blind Eagle 正在持续推进一项活跃攻击行动,并对其投递机制进行了优化。当受害者点击恶意链接后,攻击链便会发起 WebDAV 请求(使用 HTTP 80端口),其 User-Agent 特征为“Microsoft-WebDAV-MiniRedir/10.0.19044”。
WebDAV 是一种支持通过互联网传输文件和目录的协议,被该组织用于执行下一阶段恶意载荷投递和在受害系统中执行恶意程序。
Darktrace 分析师于2025年2月底,在哥伦比亚某客户网络中识别到一次规模较大的 Blind Eagle 行动。攻击者从发起攻击到完成全过程,仅耗时五小时,显示出极高的效率。
分析显示,受害设备连接至外部 IP 地址 62[.]60[.]226[.]112(地理位置在德国),并从 URL hxxp://62[.]60[.]226[.]112/file/3601_2042.exe 下载可执行恶意文件。
命令与控制(C2)基础设施分析:
此次攻击的命令控制架构展示了该组织高度专业的操作安全措施。在实现初始入侵后,受感染设备通过动态 DNS 域名与C2服务器通信,包括 21ene.ip-ddns[.]com 和 diciembrenotasenclub[.]longmusic[.]com,并通过 TCP 端口 1512 执行命令控制。
动态 DNS 服务为攻击者提供了高度弹性的基础设施,使其在 IP 变更时依然能够保持对受害设备的持续访问,绕过传统防御机制。
调查还发现,该组织在攻击过程中进行数据渗漏,累计外传数据量达 65.6 MiB,其中约 60 MiB 被传送至主控服务器,另有 5.6 MiB 发往辅助基础设施,体现出其对被攻陷环境中数据窃取的系统化策略。
发表评论
您还未登录,请先登录。
登录