Nhóm đe dọa mạng Blind Eagle: Mối đe dọa từ cửa hậu

12/03/2025
1 mins read


Nội dung
Hoạt động của nhóm đe dọa mạng Blind Eagle
1. Mục tiêu và tác động
2. Phương pháp tấn công
3. Phân phối malware
4. Lỗi trong hoạt động
5. Bối cảnh lịch sử
6. Khuyến nghị về an ninh

Hoạt động của nhóm đe dọa mạng Blind Eagle

Bài viết bàn về các hoạt động của nhóm đe dọa mạng có tên là Blind Eagle (cũng được theo dõi với tên APT-C-36). Dưới đây là những điểm chính từ bài viết:

1. Mục tiêu và tác động

  • Blind Eagle đã nhắm vào các tổ chức và thực thể chính phủ Colombia từ tháng 11 năm 2024.
  • Nhóm đã ảnh hưởng đến hơn 1.600 nạn nhân trong một trong những chiến dịch của mình, diễn ra vào khoảng ngày 19 tháng 12 năm 2024.

2. Phương pháp tấn công

  • Nhà đe dọa sử dụng email spear-phishing để có được quyền truy cập ban đầu vào hệ thống mục tiêu.
  • Nhóm khai thác lỗ hổng CVE-2024-43451, mà Microsoft đã vá vào tháng 11 năm 2024. Mặc dù biến thể khai thác không trực tiếp lộ ra NTLMv2 hash, nhưng nó kích hoạt một yêu cầu WebDAV khi tập tin .URL độc hại được tương tác, thông báo cho kẻ tấn công rằng tập tin đã được tải xuống.

3. Phân phối malware

  • Blind Eagle phân phối malware qua các nền tảng chia sẻ tệp hợp pháp như Google Drive, Dropbox, Bitbucket và GitHub.
  • Nhóm sử dụng một dịch vụ đóng gói gọi là HeartCrypt để bảo vệ tệp thực thi độc hại, mà sau đó được khởi chạy bởi một biến thể của PureCrypter. Payload cuối cùng là Remcos RAT, một trojan truy cập từ xa.

4. Lỗi trong hoạt động

  • Phân tích kho GitHub đã phát hiện một lỗi trong hoạt động khi một tệp chứa cặp tài khoản-mật khẩu với 1.634 địa chỉ email duy nhất đã bị lộ. Tệp này đã được xóa khỏi kho lưu trữ vào ngày 25 tháng 2 năm 2025.

5. Bối cảnh lịch sử

  • Blind Eagle đã hoạt động ít nhất từ năm 2018 và được biết đến với việc nhắm mục tiêu rất cụ thể vào các thực thể ở Nam Mỹ, đặc biệt là Colombia và Ecuador.

6. Khuyến nghị về an ninh

  • Các tổ chức được khuyên nên thực hiện các chính sách an ninh nghiêm ngặt, vô hiệu hóa xác thực NTLM khi có thể, và theo dõi hoạt động mạng để phát hiện các yêu cầu WebDAV bất thường nhằm chống lại mối đe dọa từ Blind Eagle.

Khả năng của Blind Eagle trong việc nhanh chóng thích ứng và khai thác các lỗ hổng vừa được vá, cùng với việc sử dụng các nền tảng chia sẻ tệp hợp pháp và các kỹ thuật tránh né tinh vi, khiến nó trở thành một mối đe dọa nghiêm trọng trong lĩnh vực an ninh mạng.


Nguồn: https://thehackernews.com/2025/03/blind-eagle-hacks-colombian.html