Trustwave SpiderLabs a publié une analyse reliant avec une haute confiance le groupe de menaces Blind Eagle, également connu sous le nom de APT-C-36, au fournisseur russe d’hébergement à toute épreuve Proton66. Ce groupe cible activement les organisations en Amérique latine, en mettant un accent particulier sur les institutions financières colombiennes.

L’analyse a révélé que Blind Eagle utilise une infrastructure caractérisée par des interconnexions fortes entre plusieurs domaines et clusters d’adresses IP, exploitant des fichiers Visual Basic Script (VBS) comme vecteur d’attaque initial. Ces scripts servent de chargeurs pour des outils de seconde étape, notamment des Trojans d’accès à distance (RATs) disponibles publiquement.

Les infrastructures identifiées hébergent des pages de phishing imitant des banques colombiennes telles que Bancolombia, BBVA, Banco Caja Social, et Davivienda. Ces sites visent à récolter des informations sensibles des utilisateurs, et sont accompagnés de scripts VBS pour le déploiement de malwares.

Une analyse approfondie a mis en évidence l’utilisation de services comme DuckDNS.org pour l’enregistrement de domaines malveillants et de services de Dynamic DNS (DDNS) gratuits pour masquer les activités. Les menaces incluent également des scripts VBS qui contiennent des routines pour s’exécuter avec des privilèges élevés et contourner les défenses de Windows Defender.

Ce rapport met en lumière l’importance de la vigilance accrue des organisations en Amérique latine, en particulier dans le secteur financier, face à ces attaques ciblées. L’article, une analyse technique, vise à informer sur les menaces actuelles et les infrastructures utilisées par les acteurs malveillants.

🧠 TTPs et IOCs détectés

TTP

[‘T1566.002 - Spearphishing Link’, ‘T1204.002 - User Execution: Malicious File’, ‘T1105 - Ingress Tool Transfer’, ‘T1059.005 - Command and Scripting Interpreter: Visual Basic’, ‘T1071.001 - Application Layer Protocol: Web Protocols’, ‘T1071.004 - Application Layer Protocol: DNS’, ‘T1027 - Obfuscated Files or Information’, ‘T1562.001 - Impair Defenses: Disable or Modify Tools’, ‘T1078 - Valid Accounts’]

IOC

[‘Proton66’, ‘DuckDNS.org’, ‘Bancolombia’, ‘BBVA’, ‘Banco Caja Social’, ‘Davivienda’]

🔗 Source originale : https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/tracing-blind-eagle-to-proton66