Una nuova campagna di minacce informatiche che ha preso di mira istituzioni e organizzazioni governative colombiane da novembre 2024 è stata collegata al gruppo di minacce Blind Eagle, noto anche come APT-C-36. Gli aggressori hanno distribuito file .url dannosi che imitano gli effetti della vulnerabilità CVE-2024-43451 recentemente corretta.
La vulnerabilità CVE-2024-43451, risolta da Microsoft il 12 novembre 2024, consentiva agli aggressori di estrarre hash NTLMv2, che potevano essere utilizzati per attacchi di autenticazione.
Sebbene la variante .url di Blind Eagle non sfrutti direttamente questa vulnerabilità, attiva comunque una richiesta WebDAV quando si interagisce con il file in modi specifici, ad esempio facendo clic con il pulsante destro del mouse, eliminandolo o trascinandolo. Questa azione informa gli aggressori che il file è stato scaricato. Se l'utente fa clic sul file, avvia il download di un payload di seconda fase tramite un'altra richiesta WebDAV, eseguendo il malware.
Solo sei giorni dopo che Microsoft ha rilasciato la patch, Blind Eagle ha incorporato questo nuovo vettore di attacco nelle sue operazioni. Il gruppo ha preso di mira principalmente istituzioni giudiziarie colombiane, organizzazioni private e altre agenzie governative.
Una delle campagne più grandi osservate, il 19 dicembre 2024, ha infettato oltre 1600 vittime. Considerando la selettività storica di Blind Eagle, questo numero è significativo.
Metodi di consegna e analisi del malware
Blind Eagle è noto per distribuire il suo malware tramite piattaforme legittime di condivisione file come Google Drive e Dropbox. Secondo un nuovo avviso di Check Point Research (CPR), ha recentemente ampliato l'uso di Bitbucket e GitHub per ospitare i suoi payload.
La catena di attacco include l'uso di HeartCrypt, un packer-as-a-service, per proteggere un .NET RAT che si ritiene essere una variante di PureCrypter. Il payload della fase finale è Remcos RAT, un trojan di accesso remoto.
Nel gennaio 2025, una nuova ondata di campagne etichettate "socialismo" e "miami" ha comportato la distribuzione di file .url dannosi tramite account Google Drive compromessi. Il malware ha eseguito una complessa catena di infezioni che ha portato all'esfiltrazione dei dati e alla compromissione del sistema.
Il repository GitHub del gruppo, aggiornato frequentemente nel fuso orario UTC-5, coincide con i fusi orari del Sud America, rafforzando i sospetti sulla sua origine.
Un'altra campagna del dicembre 2024, denominata "Parasio", ha sfruttato Bitbucket invece di GitHub per distribuire il payload Remcos RAT. Questa campagna da sola ha causato circa 9000 infezioni in una settimana.
Campagne di phishing passate ed esposizione dei dati
CPR ha anche scoperto prove di un'ulteriore campagna di phishing condotta da Blind Eagle. Nel febbraio 2025, il gruppo ha esposto per errore un file HTML contenente informazioni di identificazione personale (PII) da una campagna di phishing che impersonava banche colombiane.
Il dataset includeva 8075 voci valide, con credenziali e PIN bancomat tra le informazioni compromesse. Anche diversi account email del governo colombiano erano tra le vittime prese di mira.
"Blind Eagle rimane uno degli attori più attivi e pericolosi in America Latina, con particolare attenzione al settore pubblico e privato della Colombia", ha avvertito il CPR.
“Un fattore chiave del suo successo è la sua capacità di sfruttare le piattaforme legittime di condivisione file, tra cui Google Drive, Dropbox, Bitbucket e GitHub, consentendogli di aggirare le misure di sicurezza tradizionali e distribuire malware di nascosto.”
Per contrastare questa minaccia, si consiglia alle organizzazioni di implementare rigide politiche di sicurezza, disattivare l'autenticazione NTLM ove possibile e monitorare l'attività di rete per rilevare eventuali richieste WebDAV insolite.
Nessun commento:
Posta un commento