El actor de amenaza conocido como ciego águila se atribuye a un alto grado de confianza en el uso del servicio de alojamiento a prueba de balas ruso Proton66.
Trustwave SpiderLabs dijo en un informe publicado la semana pasada que esta conexión se puede crear girando desde activos digitales relacionados con Proton66, lo que lleva al descubrimiento de un clúster de amenaza activa que aprovecha los archivos de script de Visual Basic (VBS) como el primer vector de ataque e instala Trojan de acceso remoto de estante (Rata).
Muchos actores de amenaza confían en proveedores de alojamiento a prueba de balas como Proton66, ya que estos servicios ignoran intencionalmente los informes de abuso y las solicitudes legales de derribo. Esto permite a los atacantes ejecutar fácilmente sitios de phishing, servidores de comando y control, y sistemas de entrega de malware sin interrupción.
La compañía de seguridad cibernética dijo que ha identificado un conjunto de dominios con patrones de nomenclatura similares (gfast.duckdns (.) Org, njfast.duckdns (.) Org).
El uso de servicios DNS dinámicos como DuckDNS también juega un papel importante en estas operaciones. En lugar de registrar un nuevo dominio cada vez, un atacante gira subdominios vinculados a una sola dirección IP, lo que dificulta la detección de los defensores.
«El dominio en cuestión se utilizó para organizar una variedad de contenido malicioso, incluidas las páginas de phishing y los scripts VBS, que actúan como una etapa temprana en la implementación de malware», dijo el investigador de seguridad Serhii Melnyk. «Estos guiones actúan como cargadores para herramientas de segunda etapa, que están disponibles públicamente en esta campaña y a menudo se limitan a ratas de código abierto».
Visual Basic Script (VBS) puede parecer anticuado, pero es una herramienta de referencia para el acceso temprano debido a su compatibilidad con los sistemas de Windows y la capacidad de ejecutarse en silencio en segundo plano. El atacante lo usa para descargar un cargador de malware, omitir la herramienta antivirus y mezclarla en la actividad normal del usuario. Estos scripts livianos son a menudo el primer paso en un ataque de varias etapas, que luego implementan troyanos de acceso remoto (ratas), acero de datos o keyloggers.
La página de phishing ha sido descubierta por bancos colombianos legítimos e instituciones financieras, incluidas Bancolombia, BBVA, Bangkokaha Social y Dabi Vienda. Blind Eagle, también conocido como Aguilaciega, APT-C-36 y Apt-Q-98, es conocido por sus objetivos para entidades en América del Sur, particularmente Colombia y Ecuadore.
Los sitios engañosos están diseñados para cosechar credenciales de usuarios y otra información confidencial. Alojadas en su infraestructura, las cargas útiles de VBS están equipadas con la capacidad de recuperar ejecutables cifrados de servidores remotos, esencialmente sirviendo como un cargador para ratas de productos básicos como ratas Asyncrat y REMCOS.
Además, el análisis del código VBS reveló superposición con VBS-Crypter. Es una herramienta vinculada a los servicios de criptomonedas basados en suscripción llamados criptores y herramientas, que se utilizan para hinchar y empacar las cargas útiles de VBS para evitar la detección.
Trustwave dijo que ha descubierto un panel de Botnet que permite a los usuarios «controlar las máquinas infectadas, recuperar datos separados e interactuar con puntos finales infectados a través del amplio conjunto de características que normalmente se encuentran en el conjunto de gestión de ratas Commodity.
Esta divulgación se produce cuando DarkTrace ha estado apuntando a organizaciones colombianas desde noviembre de 2024 y revela detalles de la campaña de águila ciega dirigida a organizaciones colombianas aprovechando la falla de Windows actualmente parcheada (CVE-2024-43451) para descargar y ejecutar la siguiente carga útil.
«La persistencia del águila ciega y la capacidad de adaptar tácticas incluso después de que se liberan parches, y la velocidad a la que el grupo pudo continuar utilizando los aspectos más destacados de TTPS preestablecidos, no son esenciales para la gestión de vulnerabilidad y las aplicaciones de parches, pero no la defensa independiente», dijo la compañía.
Source link
