APT Blind Eagle: новые методы атак на Латинскую Америку в 2025 году

Blind Eagle (APT-C-36): новая волна атак на Латинскую Америку и адаптация к уязвимостям Windows

С 2018 года хакерская группировка Blind Eagle, известная также как APT-C-36, активно нацеливается на организации Латинской Америки, особенно в Колумбии. В числе их основных мишеней — правительственные учреждения, финансовые организации и критически важная инфраструктура. Последние операции этой группы демонстрируют высокий уровень технической гибкости и умение обходить внедрённые компанией Microsoft меры защиты.

Методы атак и использование уязвимостей

Основной вектор проникновения — фишинговые emails с вредоносными URL-ссылками. После перехода по таким ссылкам вредоносный файл загружается и активируется при минимальном взаимодействии с пользователем. Особое внимание экспертов привлекла эксплуатация уязвимости CVE-2024-43451 в Microsoft Windows, связанной с возможностью раскрытия хэшей пароля пользователя NTLMv2.

• Уязвимость позволяла злоумышленникам получить хэш NTLMv2 при минимальном взаимодействии.
• Microsoft выпустила исправление в ноябре 2024 года.
• Blind Eagle адаптировала тактику — вместо прямого использования уязвимости теперь применяется загрузка вредоносной полезной нагрузки через внешние ссылки.

При этом в ходе атаки активируется запрос WebDAV по протоколу HTTP с пользовательским агентом Microsoft-WebDAV-MiniRedir/10.0.19044. WebDAV обеспечивает передачу файлов и каталогов через интернет, что даёт хакерам возможность осуществлять дополнительные запросы для запуска следующей полезной нагрузки.

Эффективное взаимодействие с инфраструктурой C2

Blind Eagle демонстрирует высокую степень совершенства в работе с инфраструктурой командования и контроля (C2). Важным аспектом является технология уведомления злоумышленников, которая информирует их о том, что вредоносный файл был загружен жертвой. Это позволяет атакующим оперативно реагировать на ход кампании.

Недавние случаи компрометации и активность в 2025 году

В конце февраля 2025 года компания Darktrace зафиксировала продолжающуюся деятельность Blind Eagle, направленную против клиента из Колумбии. Были обнаружены следующие характерные признаки атаки:

• Перенаправление сетевого трафика на внешний IP-адрес, геолокированный в Германии.
• Использование динамических DNS-сервисов для регулярного изменения IP и поддержки доступа к инфраструктуре C2.
• Применение вредоносного ПО Remcos — Remote Access Trojan (RAT), задействованного в фишинговых кампаниях.
• Увеличение активности связи с C2 и проблемы с алгоритмом генерации вредоносных доменов (DGA).
• Обмен данными через новый TCP-порт 1512, что свидетельствует о масштабном компрометационном инциденте, включающем подозрительные загрузки и передачу данных.

Рекомендации по защите и будущее противостояния

Устойчивость группы Blind Eagle подчёркивает недостаточность лишь своевременного внедрения исправлений. Их способность менять методы атаки требует комплексного подхода к защите — внедрения эффективных систем обнаружения аномалий и поведения пользователей и устройств.

Для организаций крайне важно сочетать:

• Своевременное применение патчей и обновлений.
• Автономные решения по обнаружению угроз и реагированию (EDR и XDR).
• Мониторинг аномалий в сетевом трафике и поведении конечных устройств.

Только через такое многоуровневое и проактивное противодействие можно эффективно сдерживать развитие изощренных тактик, применяемых хакерами, подобных Blind Eagle.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.