Siber güvenlik manzarasındaki önemli bir gelişmede, daha yaygın olarak Blind Eagle olarak bilinen APT-C-36, Kolombiya hükümet, finansal ve kritik altyapı organizasyonlarını hedefleyen operasyonlarını yoğunlaştırmıştır.
2018’den beri aktif olan bu gelişmiş kalıcı tehdit grubu, yakın zamanda cephaneliğini sofistike istismar teknikleri ve kötü amaçlı yazılımlarla genişletti ve gelişen güvenlik önlemlerine uyum sağlama konusunda endişe verici bir yetenek gösterdi.
Tehdit oyuncusu, tek bir kampanyaya 1.600’den fazla kurbanı enfekte etti ve operasyonlarının ölçeğini ve etkinliğini vurguladı.
Blind Eagle, yeni istismarların saldırı yöntemlerine dahil edilmesinde dikkate değer bir çeviklik göstermiştir.
12 Kasım 2024’te Microsoft, kötü niyetli .Url dosyaları kullanılarak vahşi doğada aktif olarak sömürülen yeni keşfedilen bir güvenlik açığı olan CVE-2024-43451’i düzenledi.
Yama sürümünden sadece altı gün içinde, Blind Eagle bu istismarın bir çeşidini saldırı cephaneliğine entegre etmişti.
Bu varyant, NTLMV2 karmaşasını ortaya çıkarmaması nedeniyle orijinal istismardan farklıdır, bunun yerine hedeflenen bir kullanıcı kötü amaçlı dosyayı indirdiğinde tehdit aktörleri için bir bildirim mekanizması görevi görür.
Grubun yeni açıklanan güvenlik açıklarına hızla uyum sağlama yeteneği, teknik sofistike ve kalıcı tehdit yeteneklerini vurgulamaktadır.
Kötü niyetli .url dosyaları özellikle etkilidir, çünkü dosyayı sağ tıklama, silme veya sürükleme gibi olağandışı kullanıcı etkileşimleri yoluyla eşleştirilmemiş makinelerde WebDAV isteklerini tetikleyebilirler.
Yamalı sistemlerde bile, bir kullanıcı manuel olarak tıklarsa bu dosyalar kötü amaçlı yazılım enfeksiyonuna yol açabilir.
İki aydan fazla kullanımda olmasına rağmen, bu .url dosyalarının çoğu Virustotal üzerindeki antivirüs motorları tarafından tespit edilmemeye devam ederek Blind Eagle’ın operasyonlarında gizli kalmasına izin veriyor.
Grubun taktikleri artık kötü amaçlı yazılımlarını dağıtmak için Google Drive, Dropbox, GitHub ve Bitbucket gibi meşru dosya paylaşım platformlarından yararlanarak güvenlik araçlarının algılama çabalarını daha da karmaşıklaştırıyor.
Kampanya altyapısı ve sofistike kötü amaçlı yazılım zinciri
Aralık 2024 ve Şubat 2025 arasında Blind Eagle, “Socialismo”, “Miami”, “Paraiso”, “Marte” ve “Saturno” gibi iç kodlamalarla tanımlanan birden fazla kampanya yürüttü.
Bu kampanyalar tutarlı bir saldırı zinciri kullanıldı: E-posta yoluyla (genellikle tehlikeye atılan Google Drive hesapları aracılığıyla) teslim edilen kötü amaçlı .url dosyaları Heartcrypt dolu bir kötü amaçlı yazılım indirir.
Bu kötü amaçlı yazılım daha sonra, CSC.EXE gibi meşru pencereler işlemlerine paketlenmiş bir .NET yükleyicisini çıkaracak ve enjekte eder ve sonuçta PurecryPter1 varyantı gibi görünen bir .NET uzaktan erişim Truva (sıçan) sunar.
Teknik sofistike saldırı zinciri boyunca devam ediyor. .NET Rat, kullanıcı adı, işletim sistemi sürümü, yüklü antivirüs ve makine özellikleri dahil olmak üzere kurbanın sistemi hakkında ayrıntılı bilgi toplar.
Bu veriler daha sonra AE’ler kullanılarak şifrelenir ve sıklıkla değişen ancak genellikle aynı IP adreslerine çözülen alan adlarına sahip komut ve kontrol (C&C) sunucularına gönderilir.
Yanıt olarak, C&C sunucusu, saldırganlar tarafından tutulan GitHub veya Bitbucket depolarında barındırılan son yükü – tipik olarak Remcos sıçanını – indirmek için bir URL sağlar.
GitHub deposunun analizi “Oscarito20222/dosya”, tüm depo güncellemelerinin UTC-5 saat diliminde işlendiğini ve potansiyel olarak Güney Amerika ülkelerinde Blind Eagle’ın kökenini gösterdiğini ortaya koydu.
Bu depo, yeni kötü niyetli yürütülebilir ürünlerle düzenli olarak güncellenecek, daha sonra kullanımdan sonra silinerek grubun operasyonel güvenlik bilincini gösterecektir.
Özellikle, 25 Şubat 2025’te grup, önceki kimlik avı faaliyetlerinden kişisel olarak tanımlanabilir bilgiler (PII) içeren bir HTML dosyası yükledi, Kolombiyalı banka müşterilerini hedeflemelerini ve Kolombiyalı kurbanlara odaklanmayı doğruladı.
Kolombiyalı kamu ve özel sektörler üzerinde ciddi etki
Blind Eagle’ın kampanyalarının etkisi, özellikle Kolombiyalı hükümet örgütleri üzerindeki etkisi olmuştur.
Kötü niyetli .url dosyalarının dosya adlarına dayanarak, grup özellikle ceza davaları, iş uyuşmazlıkları ve güvenlik önlemlerini ele alan mahkemeler de dahil olmak üzere çeşitli Kolombiya adalet sistemi kuruluşlarını hedeflemektedir.
Kötü niyetli dosya adları, duruşmaların bildirimleri, adli şikayetler ve koruyucu emirler gibi resmi yasal iletişimleri taklit ederek, mağdur etkileşimi olasılığını artırmak için hükümet iletişimine olan güvenini kullanır.
Sadece Aralık 2024 “Paraiso” kampanyasında, 1.600’den fazla Kolombiya sistemi Remcos Rat ile enfekte edildi.
facturacioncol/fact Bitbucket Deposu.Blind Eagle gibi APT gruplarının hedefli doğası göz önüne alındığında, bu enfeksiyon oranı özellikle önemlidir ve etkinliklerini göstermektedir.
Aralık ayında sadece bir hafta içinde meydana gelen kampanyalar arasındaki toplam enfeksiyonlar yaklaşık 9.000’e ulaştı ve operasyonlarının kapsamlı erişimini ortaya koydu.
Grubun operasyonlarından gelen bir veri sızıntısı, Kolombiya bankalarını taklit eden kimlik avı kampanyaları aracılığıyla toplanan 8.400’den fazla kişisel olarak tanımlanabilir bilgi girişini ortaya çıkardı.
Tanımlanan 1.634 e -posta adresinden, beşi Ulusal Polis, Vergi Otoritesi ve Denetçi Ofisi de dahil olmak üzere Kolombiyalı hükümet kurumlarına aitti.
Bu, Blind Eagle’ın finans kurumlarının ve özel vatandaşların yanı sıra devlet kuruluşlarının kalıcı hedeflediğini ve Kolombiya’nın ulusal güvenlik ve ekonomik istikrarı için kapsamlı bir tehdit oluşturduğunu gösteriyor.
Blind Eagle’ın faaliyetlerini izleyen Check Point Research, grubun Latin Amerika’daki en aktif ve tehlikeli tehdit aktörlerinden biri olarak kaldığını belirtiyor.
Hızlı evrimleri, etkili sosyal mühendislik taktikleri ve hem kamu hem de özel sektör kuruluşlarına odaklanmaları, kuruluşların bu uyarlanabilir düşmanların ortaya koyduğu riski azaltmak için proaktif tehdit zekası, ileri güvenlik savunmaları ve sürekli izleme uygulamalarını gerektirir.
SOC/DFIR ekiplerinden misiniz?: Kötü amaçlı yazılım olaylarını analiz edin ve any.run -> şimdi ücretsiz başlayın.