Blind Eagle olarak bilinen tehdit aktörü, Rus kurşun geçirmez barındırma hizmeti Proton66’nın kullanımına yüksek güvenle ilişkilendirildi.
Trustwave SpiderLabs, geçen hafta yayınlanan bir raporda, Proton66 bağlantılı dijital varlıklardan dönerek bu bağlantıyı yapabildiğini ve ilk saldırı vektörü olarak görsel Basic betiği (VBS) dosyalarını kullanan aktif bir tehdit kümesinin keşfedilmesine yol açtığını söyledi.
Birçok tehdit aktörü Proton66 gibi kurşun geçirmez barındırma sağlayıcılarına güveniyor çünkü bu hizmetler kasıtlı olarak kötüye kullanım raporlarını ve yasal yayından kaldırma isteklerini görmezden geliyor. Bu, saldırganların kimlik avı siteleri, komut ve kontrol sunucuları ve kötü amaçlı yazılım dağıtım sistemlerini kesintisiz çalıştırmasını kolaylaştırır.
Siber güvenlik şirketi, benzer bir adlandırma modeline sahip bir dizi alan adını belirlediğini söyledi (örn., GFAST.DUCKDNS[.]org, njfast.Duckdns[.]Org) Ağustos 2024’ten başlayarak, hepsi aynı IP adresine karar verdi (“45.135.232[.]38 “) Proton66 ile ilişkilidir.
Duckdns gibi dinamik DNS hizmetlerinin kullanılması da bu işlemlerde önemli bir rol oynamaktadır. Her seferinde yeni alan adlarını kaydetmek yerine, saldırganlar tek bir IP adresine bağlı alt alanları döndürür ve bu da tespiti savunucular için zorlaştırır.
Güvenlik araştırmacısı Serhii Melnyk, “Söz konusu alanlar, kötü amaçlı yazılım dağıtımının ilk aşaması olarak hizmet veren kimlik avı sayfaları ve VBS komut dosyaları da dahil olmak üzere çeşitli kötü amaçlı içeriğe ev sahipliği yapmak için kullanıldı.” Dedi. Diyerek şöyle devam etti: “Bu komut dosyaları, bu kampanyada halka açık ve genellikle açık kaynaklı sıçanlarla sınırlı olan ikinci aşama araçlar için yükleyici görevi görüyor.”
Visual Basic betiği (VBS) modası geçmiş görünse de, Windows sistemleriyle uyumluluğu ve arka planda sessizce çalışabilme yeteneği nedeniyle başlangıç erişim için hala bir araçtır. Saldırganlar, kötü amaçlı yazılım yükleyicilerini indirmek, antivirüs araçlarını atlamak ve normal kullanıcı etkinliğine karışmak için kullanırlar. Bu hafif komut dosyaları genellikle çok aşamalı saldırılarda ilk adımdır, bu da daha sonra uzaktan erişim truva atlarını (sıçanlar), veri stealer’larını veya keylogger’ları dağıtır.
Kimlik avı sayfalarının Bancolombia, BBVA, Banco Caja Social ve Davivienda dahil olmak üzere Kolombiyalı bankaları ve finansal kurumları meşru olduğu bulunmuştur. Aguilaciega, APT-C-36 ve APT-Q-98 olarak da bilinen Blind Eagle, Güney Amerika’daki, özellikle Kolombiya ve Ekvador’daki varlıkları hedeflemesi ile bilinir.
Aldatıcı siteler, kullanıcı kimlik bilgilerini ve diğer hassas bilgileri hasat etmek için tasarlanmıştır. Altyapı üzerinde barındırılan VBS yükleri, esasen Asyncrat veya Remcos Rat gibi emtia fareleri için bir yükleyici görevi gören uzak bir sunucudan şifreli yürütülebilir dosyaları almak için özelliklerle donatılmıştır.
Ayrıca, VBS kodlarının bir analizi, VBS-Crypter ile örtüştükleri ortaya çıkarmıştır, bu da Crypters ve VBS yüklerini algılamayı önlemek amacıyla gizlemek ve paketlemek için kullanılan araçlar ve araçlar adı verilen araçlara bağlı bir araç ortaya çıkarmıştır.
Trustwave, kullanıcıların “enfekte edilmiş makineleri kontrol etmelerini, pespiltrasyonlu verileri almalarını ve enfekte uç noktalarla tipik olarak emtia faresi yönetimi süitlerinde bulunan geniş bir yetenek kümesi yoluyla enfekte uç noktalarla etkileşime girmesine izin veren bir botnet paneli keşfettiğini söyledi.
Açıklama, Darktrace’in Kasım 2024’ten bu yana Kolombiya organizasyonlarını hedefleyen kör bir kartal kampanyasının ayrıntılarını açıkladığı gibi, şimdi, Mart 2025’te kontrol noktasına göre belgelenen bir davranış olan bir sonraki aşama yükü indirmek ve yürütmek için şimdi paketlenmiş bir Windows Flaw’dan (CVE-2024-43451) yararlanarak.
Şirket, “Kör kartalın kalıcılığı ve yamalar serbest bırakıldıktan sonra bile taktiklerini uyarlama yeteneği ve grubun önceden kurulmuş TTP’leri kullanmaya devam edebilme hızı, zamanında güvenlik açığı yönetimi ve yama uygulamasının temel bir savunma olmadığını vurguluyor.” Dedi.