Blind Eagle volta a atacar organizações públicas e privadas

Blind Eagle volta a atacar organizações públicas e privadas. Um dos grupos cibercriminosos mais perigosos da América Latina volta a atacar organizações públicas e privadas

Especialistas da Check Point Software descobriram novas e alarmantes campanhas de ataque do Blind Eagle (APT-C-36), um grupo APT latino-americano que tem como alvos entidades governamentais da Colômbia, o sistema judiciário e organizações privadas

A Check Point Research (CPR), divisão de Inteligência de Ameaças da Check Point Software , descobriu uma série de campanhas cibernéticas direcionadas pelo Blind Eagle (APT-C-36), um dos grupos de ameaças mais perigosas da América Latina. Dias após a Microsoft lançar uma correção para a vulnerabilidade CVE-2024-43451, o grupo começou a empregar uma técnica semelhante envolvendo arquivos [.]url maliciosos, demonstrando como os atacantes podem transformar atualizações de segurança em armas contra suas vítimas. A CPR acordos que uma campanha comprovada em mais de 9.000 vítimas em apenas uma semana, estabelece que as táticas atuais desse grupo são altamente eficazes.

Os ataques utilizam plataformas independentes como Google Drive, Dropbox, GitHub e Bitbucket para distribuição de malware, contornando as defesas de segurança tradicionais. A equipe do CPR descobriu também mais de 1.600 infecções a partir de uma única campanha — um número alarmante, considerando o caráter direcionado dos ataques APT. O malware final, o Remcos RAT, permite roubo de dados, execução remota e acesso persistente ao sistema comprometido.

Os cibercriminosos envelhecem rapidamente, mas o Blind Eagle (APT-C-36) está demonstrando o quão rápido pode ser essa adaptação. Esse infame grupo APT, conhecido por atacar o sistema judiciário, instituições governamentais e organizações privadas da Colômbia, lançou uma nova campanha que evidencia como os investigadores podem transformar patches de segurança em armas contra seus alvos.

A equipe da CPR alerta para o fato de que essa campanha destaca a crescente sofisticação das ameaças cibernéticas e a necessidade de defesas proativas para combatê-las.

Transformando um patch da Microsoft em arma cibernética

Em 12 de novembro de 2024, a Microsoft lançou um patch para o CVE-2024-43451, uma vulnerabilidade que expunha hashes NTLMv2, permitindo que invasores sequestrassem credenciais de usuários. Em resposta, o Blind Eagle desenvolveu uma técnica usando arquivos [.]url, não para explorar diretamente a vulnerabilidade, mas para rastrear vítimas e iniciar downloads de malware.

Essa tática é especialmente perigosa porque exige interação mínima do usuário. Basta clicar com o botão direito, excluir ou arrastar o arquivo para disparar uma solicitação WebDAV, notificando os atacantes de que o arquivo foi acessado. Se a vítima então clicar no arquivo, a próxima fase do ataque será iniciada, resultando em um comprometimento total do sistema.

A furtividade desse método torna a detecção extremamente difícil. Diferente de malwares tradicionais que são desativados que o usuário abra um anexo ou habilite macros, esses arquivos [.]url são passivamente, notificando os atacantes antes mesmo de serem executados. Isso permite que o Blind Eagle identifique e priorize vítimas em potencial, pois seus arquivos maliciosos enviam alertas quando ouvidos.

Plataformas confiáveis ​​na nuvem são o novo mecanismo de distribuição de malware

O Blind Eagle já havia utilizado serviços em nuvem legítimos anteriormente e continua explorando essa tática, dificultando ainda mais a detecção por ferramentas de segurança.

A CPR concorda com o Blind Eagle usando:

Google Drive

Caixa de depósito

GitHub

Bitbucket

Ao ocultar malware como arquivos aparentemente inofensivos hospedados em serviços confidenciais, o grupo Blind Eagle consegue escapar dos filtros de segurança tradicionais. Quando uma vítima interage com o arquivo malicioso, o malware é superado e executa um trojan de acesso remoto (RAT), concedendo controle total do sistema aos atacantes.

Esse método também permite que o Blind Eagle atualize rapidamente suas cargas maliciosas sem precisar modificar sua infraestrutura de ataque. Se uma conta de hospedagem for derrubada, eles podem simplesmente fazer o upload do malware em outra conta na nuvem e continuar suas transações.

A cadeia completa do ataque

Uma vez executado, o malware implantado pelo Blind Eagle é projetado para furtividade, persistência e exfiltração de dados. A carga final utilizada nesta campanha é o malware Remcos RAT, um trojan de acesso remoto amplamente utilizado, que concede aos atacantes controle total sobre uma máquina infectada.

Após a infecção, o malware pode:

– Capturar credenciais do usuário registrando teclas digitadas e roubando senhas armazenadas.

– Modificar e excluir arquivos, permitindo que os aventureiros sabotem sistemas ou criptografem dados para resgate.

– Estabelecer persistência, criando tarefas agendadas e modificações no registro, garantindo que o malware sobreviva às reinicializações.

– Exfiltrar informações confidenciais, enviando-as de volta para os servidores C2 (comando e controle) silenciosos pelo Blind Eagle.

A velocidade com que o Blind Eagle se transformou em uma vulnerabilidade recém-corrigida em arma levanta uma preocupação crítica: os cibercriminosos estão se adaptando mais rapidamente.

De acordo com os especialistas da Check Point Software, esse caso evidencia uma tendência preocupante na guerra cibernética moderna: os atores de ameaça não esperam mais pela divulgação de vulnerabilidades zero-day. Em vez disso, monitoramos patches de segurança, nos analisamos e descobrimos maneiras de replicar ou reutilizar o comportamento da exploração antes que as organizações implementem suas defesas completamente.

A capacidade do Blind Eagle de integrar rapidamente uma exploração corrigida em suas campanhas sugere que os cibercriminosos estão se tornando mais ágeis, inovadores e preparados. As equipes de segurança devem reagir acelerando suas estratégias de gerenciamento de patches e implementando soluções de prevenção de ameaças baseadas em IA para detectar ameaças emergentes antes que possam causar danos.

Com os grupos APT evoluindo sua estratégia rapidamente, as organizações devem abandonar modelos tradicionais de segurança e adotar uma estratégia proativa de defesa.

Principais medidas para mitigar essas ameaças:

. Reforçar a segurança de e-mails – O Blind Eagle depende fortemente de phishing para distribuir malware. Soluções robustas de segurança de e-mail podem detectar e bloquear anexos maliciosos antes que alcancem os usuários.

. Implementar proteção em tempo real nos endpoints – Detecção comportamental, como Harmony Endpoint , pode identificar interações suspeitas com arquivos e impedir a execução de malware antes que causem danos.

. Monitorar tráfego da web e atividade DNS – Como o Blind Eagle usa armazenamento em nuvem, as equipes de segurança devem analisar conexões de rede saindo da organização e sinalizar acessos naturais a plataformas confiáveis.

. Treinamento contínuo de conscientização em segurança – Funcionários continuam sendo o mais fraco. Treinamentos regulares sobre phishing e comportamento suspeito de arquivos podem evitar ataques bem sucedidos.

. Utilização avançadas soluções de prevenção de ameaças – Ferramentas como Check Point Threat Emulation e Harmony Endpoint oferecem proteção abrangente contra as táticas descritas neste relatório.

FONTE: MINUTO DA SEGURANÇA