De dreigingsacteur bekend als Blind Eagle is met veel vertrouwen toegeschreven aan het gebruik van de Russische kogelvrije hosting -service Proton66.
Trustwave Spiderlabs zei in een rapport dat vorige week werd gepubliceerd, dat het in staat was om deze connectie te maken door te draaien van Proton66-gekoppelde digitale activa, wat leidde tot de ontdekking van een actief bedreigingscluster dat gebruik maakt van het Visual Basic Script (VBS) -bestanden als zijn eerste aanvalsvector en installeert off-the-shelf externe toegang tot Trojans (ratten).
Veel dreigingsacteurs vertrouwen op BulletProHoewel het visuele basisscript (VBS) misschien verouderd lijkt, is het nog steeds eenvan hostingproviders zoals Proton66 omdat deze diensten opzettelijk misbruikrapporten en wettelijke verwijderingsverzoeken negeren. Dit maakt het voor aanvallers gemakkelijker om phishing-sites, command-and-control servers en malware-leveringssystemen zonder onderbreking te runnen.
Het Cybersecurity Company zei dat het een reeks domeinen identificeerde met een soortgelijk naamgevingspatroon (bijv. Gfast.duckdns (.) Org, njfast.duckdns (.) Org) Beginnend in augustus 2024, die allemaal opgelost waren op hetzelfde IP -adres (“45.135.232 (.) 38”) dat is geassocieerd met proton66.
Het gebruik van dynamische DNS -services zoals DuckDNS speelt ook een sleutelrol in deze bewerkingen. In plaats van elke keer nieuwe domeinen te registreren, roteren aanvallers subdomeinen gebonden aan een enkel IP -adres – waardoor detectie moeilijker is voor verdedigers.
“De domeinen in kwestie werden gebruikt om een verscheidenheid aan kwaadaardige inhoud te organiseren, waaronder phishing -pagina’s en VBS -scripts die dienen als de beginfase van malware -implementatie,” zei beveiligingsonderzoeker Serhii Melnyk. “Deze scripts fungeren als laders voor tweede fase tools, die in deze campagne beperkt zijn tot openbaar beschikbaar en vaak open-source ratten.”
Hoewel VBS misschien verouderd lijkt, is het nog steeds een go-to-tool voor initiële toegang vanwege de compatibiliteit met Windows Systems en de mogelijkheid om stil te lopen op de achtergrond. Aanvallers gebruiken het om malware -laders te downloaden, antivirushulpmiddelen te omzeilen en in normale gebruikersactiviteit te versmelten. Deze lichtgewicht scripts zijn vaak de eerste stap in multi-fase aanvallen, die later ratten, data-stealers of keyloggers implementeren.
De phishing -pagina’s zijn gevonden voor legitieme Colombiaanse banken en financiële instellingen, waaronder Bancolombia, BBVA, Banco Caja Social en Davivienda. Blind Eagle, ook bekend als Aguilaciega, APT-C-36 en APT-Q-98, staat bekend om zijn targeting van entiteiten in Zuid-Amerika, met name Colombia en Ecuador.
De misleidende sites zijn ontworpen om gebruikersreferenties en andere gevoelige informatie te oogsten. De VBS -payloads die op de infrastructuur zijn gehost, zijn voorzien van mogelijkheden om gecodeerde uitvoerbare bestanden op te halen van een externe server, die in wezen fungeren als lader voor grondstoffenratten zoals asyncrat of Remcos Rat.
Bovendien heeft een analyse van de VBS-codes overlappingen onthuld met VBS-Crypter, een tool gekoppeld aan een op abonnement gebaseerde crypter-service genaamd crypters en tools die wordt gebruikt om VBS-ladingen te verdoezelen en te verpakken met als doel detectie te voorkomen.
Trustwave zei dat het ook een botnet -paneel ontdekte waarmee gebruikers “geïnfecteerde machines kunnen besturen, geëxfiltreerde gegevens kunnen ophalen en interageren met geïnfecteerde eindpunten via een brede set mogelijkheden die meestal worden aangetroffen in commodity rat management suites.”
De openbaarmaking komt als DarkTrace details onthulde van een Blind Eagle-campagne die zich sinds november 2024 op Colombiaanse organisaties heeft gericht door een nu geëgaliseerde Windows FLAW (CVE-2024-43451) te exploiteren om de volgende fase payload te downloaden en uit te voeren, een gedrag dat voor het eerst werd gedocumenteerd door Check Point in maart 2025.

“De persistentie van blinde adelaar en het vermogen om zijn tactieken aan te passen, zelfs nadat patches waren vrijgegeven, en de snelheid waarmee de groep vooraf vastgestelde TTP’s kon blijven gebruiken, benadrukt dat tijdig kwetsbaarheidsbeheer en patch-toepassing, hoewel essentieel, geen zelfstandige verdediging is,” zei het bedrijf.