BlindEagle: spear‑phishing против MCIT с загрузчиком Caminho и DCRAT

В сентябре 2025 года Zscaler ThreatLabZ зафиксировал целевую кампанию spear phishing, которую аналитики приписывают южноамериканскому злоумышленнику BlindEagle. Целью атаки стало колумбийское правительственное агентство при Министерстве торговли, промышленности и туризма (MCIT). По оценке исследователей, кампания демонстрирует переход от одноштаммовых операций к многоуровневому потоку атак с продвинутыми методами уклонения.

«Операция началась с электронного письма с фишингом, отправленного со взломанной учетной записи в агентстве, предназначенного для того, чтобы казаться законным и использовать доверие получателей», — отмечают аналитики Zscaler ThreatLabZ.

Как работала атака — пошаговая цепочка

• Исходная точка: фишинговое письмо, отправленное со взломанной внутренней учетной записи MCIT, что повышало доверие получателей.
• Социальная инженерия: письмо ссылалось на мошеннический веб-портал, имитирующий официальный ресурс и использующий дизайн на юридическую тематику, чтобы подтолкнуть пользователя открыть вложение.
• Файлless-последовательность: при взаимодействии с вложением запускалась атака без использования файлов — несколько фрагментов JavaScript, за которыми следовала команда PowerShell, выполнявшая дальнейшие действия в памяти.
• Загрузчик: PowerShell-команда скачивала Caminho — загрузчик вредоносного ПО, выявленный в обращении с середины 2025 года.
• Основной payload: после установки Caminho разворачивался DCRAT — открытый RAT (Remote Access Trojan) с функциями регистрации нажатий клавиш и доступа к диску, а также известными методами уклонения от обнаружения (модификация интерфейса сканирования вредоносных программ AMSI).

Методы уклонения и доставка

Аналитики описывают сложную комбинацию способов обхода защит:

• использование скриптов, выполняемых в памяти (fileless execution) для снижения артефактов на диске;
• обфускация JavaScript и PowerShell-команд, что затрудняет статический анализ и автоматическое обнаружение;
• стеганография — скрытие компонентов Caminho внутри изображения в формате PNG;
• использование легитимных интернет‑сервисов (включая Discord) для размещения и доставки вредоносного ПО, чтобы замаскировать трафик и усложнить блокировку;
• целевые механизмы обхода обнаружения, в том числе модификация AMSI для затруднения динамического анализа.

Атрибуция и признаки

ThreatLabZ связывает кампанию с BlindEagle на основании сопоставления индикаторов компрометации, паттернов работы и набора включённого в цепочку вредоносного ПО. По мнению исследователей, появление Caminho указывает на изменение тактического подхода злоумышленника — от использования отдельных штаммов к многоуровневой, модульной структуре атак.

Последствия и рекомендации

Кампания подчёркивает постоянную и целенаправленную угрозу в отношении колумбийских государственных учреждений и необходимость поддержания высокого уровня готовности. Для снижения риска эксперты рекомендуют, в числе прочего:

• усилить защиту электронной почты: внедрить многоуровневую фильтрацию, DMARC/SPF/DKIM и анализ поведения вложений;
• обратить внимание на мониторинг внутреннего трафика и аномалий учетных записей (в том числе учетных записей с повышенными правами);
• внедрить EDR/непрерывный мониторинг конечных точек с возможностью обнаружения выполнения скриптов в памяти;
• блокировать или внимательно контролировать использование сторонних сервисов для хостинга — например, необоснованное использование Discord для обмена файлами;
• организовать регулярное обучение сотрудников по распознаванию целевого spear phishing и механизмы проверки подозрительных писем, даже если они приходят с «внутренних» адресов.

По словам исследователей, кампании такого типа требуют постоянного мониторинга и координации между командами безопасности, чтобы своевременно обнаруживать и нейтрализовать сложные многошаговые атаки.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.