近日，據(jù)黑莓安全研究與威脅情報(bào)團(tuán)隊(duì)稱，名為Blind Eagle 的APT組織正在活躍，針對(duì)哥倫比亞各個(gè)關(guān)鍵行業(yè)發(fā)起持續(xù)性網(wǎng)絡(luò)攻擊，包括衛(wèi)生、金融、執(zhí)法、移民以及負(fù)責(zé)哥倫比亞和平談判在內(nèi)的機(jī)構(gòu)都是該組織的重點(diǎn)攻擊目標(biāo)。黑莓安全研究與威脅情報(bào)團(tuán)隊(duì)還發(fā)現(xiàn)，該組織正在向厄瓜多爾、智利和西班牙地區(qū)擴(kuò)張。

資料顯示，Blind Eagle又被稱為APT-C-36，以高活躍度和高危害性出名。2018年4月，研究人員捕獲到了第一個(gè)針對(duì)哥倫比亞政府的定向攻擊樣本，并在此后近一年時(shí)間內(nèi)，先后捕獲了多起針對(duì)哥倫比亞政企機(jī)構(gòu)的定向攻擊。

基于近段時(shí)間APT-C-36高活躍性，知名安全團(tuán)隊(duì)Check Point Research發(fā)布了該組織的詳細(xì)調(diào)查報(bào)告，介紹了其高級(jí)工具集和攻擊方式，例如通過(guò)魚叉式網(wǎng)絡(luò)釣魚電子郵件傳送的 Meterpreter 有效載荷。

簡(jiǎn)單來(lái)說(shuō)，APT-C-36組織會(huì)精心設(shè)計(jì)用于網(wǎng)絡(luò)釣魚的電子郵件，其中往往帶有一個(gè)指向PDF文件的鏈接，該文件會(huì)被托管至 DIAN 網(wǎng)站上，但實(shí)際上這是一條惡意鏈接，用戶訪問(wèn)后系統(tǒng)將會(huì)感染惡意軟件，從而被該組織入侵。

黑莓研究人員進(jìn)一步指出，“假冒的 DIAN 網(wǎng)站頁(yè)面包含一個(gè)按鈕，誘導(dǎo)受害者下載 PDF 文件以查看該網(wǎng)站聲稱待處理的稅務(wù)發(fā)票。訪問(wèn)后就會(huì)從 Discord 內(nèi)容分發(fā)網(wǎng)絡(luò) (CDN) 下載惡意文件?！?/p>

被用于攻擊的有效載荷是一個(gè)混淆的 Visual Basic 腳本 (VBS)，它在打開“PDF”文件時(shí)執(zhí)行，會(huì)利用 PowerShell 檢索基于 .NET 的 DLL 文件，最終將 AsyncRAT 加載到內(nèi)存中。而一旦惡意軟件被安裝在用戶的系統(tǒng)上，APT-C-36組織就可以隨時(shí)連接到受感染的端點(diǎn)，并執(zhí)行任意操作。

值得一提的是，APT-C-36組織一般會(huì)使用DuckDNS 等動(dòng)態(tài) DNS服務(wù)來(lái)遠(yuǎn)程控制受感染的主機(jī)。由于在其魚叉式網(wǎng)絡(luò)釣魚電子郵件中使用該語(yǔ)言，APT-C-36被認(rèn)為是講西班牙語(yǔ)的組織。

雖然目前無(wú)法確定APT-C-36組織基地的具體位置，但安全研究人員根據(jù)現(xiàn)有的信息認(rèn)為其在南美洲，且該組織持續(xù)針對(duì)哥倫比亞政府、機(jī)構(gòu)，因此被認(rèn)為具有某個(gè)國(guó)家/地區(qū)的背景。

黑莓安全人員稱，“該組織使用的作案手法與之前幾乎保持一致，非常簡(jiǎn)單但是也很有效，這也意味著該組織內(nèi)部對(duì)于，通過(guò)網(wǎng)絡(luò)釣魚電子郵件發(fā)起攻擊活動(dòng)的方式感到滿意，并且對(duì)使用它們充滿信心?！?/p>

那么問(wèn)題來(lái)了？

為什么目標(biāo)用戶沒有采取針對(duì)性的防御措施，APT-C-36組織又是通過(guò)什么來(lái)保障成功率？畢竟在網(wǎng)絡(luò)安全領(lǐng)域，“一招鮮吃遍天”是一個(gè)低概率的事件。

參考來(lái)源：https://thehackernews.com/2023/02/apt-c-36-strikes-again-blind-eagle.html