Theo phân tích của công ty an ninh mạng Check Point, các chiến dịch đang nhắm vào các tổ chức và cơ quan chính phủ Colombia với tỷ lệ lây nhiễm cao. Hơn 1.600 nạn nhân đã bị ảnh hưởng bởi một trong những chiến dịch này diễn ra vào khoảng ngày 19/12/2024.

Blind Eagle, hoạt động ít nhất từ ​​năm 2018 cùng với AguilaCiega, APT-C-36 và APT-Q-98, nhắm mục tiêu vào các tổ chức ở Nam Mỹ, cụ thể là Colombia và Ecuador.

Các chuỗi tấn công sử dụng những chiến thuật kỹ thuật xã hội, thường dưới dạng email lừa đảo để đạt quyền truy cập ban đầu vào các hệ thống mục tiêu và cuối cùng là phát tán các trojan truy cập từ xa như AsyncRAT, NjRAT, Quasar RAT và Remcos RAT.

Trong cuộc tấn công mới nhất, tin tặc sử dụng ba yếu tố gồm một biến thể của một khai thác cho lỗ hổng Microsoft Windows hiện đã được vá (CVE-2024-43451); sử dụng nền tảng như một dịch vụ (PaaS) có tên là HeartCrypt; phát tán các tải trọng qua Bitbucket và GitHub vượt ra ngoài Google Drive và Dropbox.

Cụ thể, HeartCrypt được sử dụng để bảo vệ tệp thực thi độc hại, một biến thể của PureCrypter sau đó chịu trách nhiệm khởi chạy phần mềm độc hại Remcos RAT được lưu trữ trên kho lưu trữ Bitbucket hoặc GitHub hiện đã bị xóa.

CVE-2024-43451 đề cập đến lỗ hổng tiết lộ hàm băm NTLMv2 đã được Microsoft khắc phục vào tháng 11/2024. Blind Eagle đã đưa một biến thể của lỗ hổng này thành vũ khí tấn công của mình chỉ 6 ngày sau khi phát hành bản vá khiến các nạn nhân không một chút nghi ngờ. URL độc hại được phát tán qua email lừa đảo được nhấp thủ công.

Check Point, cho biết: "Mặc dù biến thể này không thực sự tiết lộ hàm băm NTLMv2, nhưng nó thông báo cho các tác nhân đe dọa rằng tệp đã được người dùng tải xuống. Trên các thiết bị có chưa lỗ hổng CVE-2024-43451, yêu cầu WebDAV được kích hoạt ngay trước khi người dùng tương tác với tệp. Trong khi đó, trên cả hệ thống đã vá và chưa vá, việc nhấp thủ công vào tệp. URL độc hại sẽ khởi tạo quá trình tải xuống và thực thi tải trọng cho giai đoạn tiếp theo".

Kho lưu trữ GitHub đã tiết lộ rằng tác nhân đe dọa hoạt động theo múi giờ UTC-5, phù hợp với một số quốc gia Nam Mỹ. Ngoài ra, trong một lỗi vận hành, một phân tích về lịch sử cam kết của kho lưu trữ đã phát hiện ra một tệp chứa các cặp tài khoản - mật khẩu với 1.634 địa chỉ email duy nhất.

Mặc dù tệp HTML có tên "Ver Datos del Formulario.html" đã bị xóa khỏi kho lưu trữ vào ngày 25 tháng 2 năm 2025, nhưng đã tệp này chứa các thông tin chi tiết như tên người dùng, mật khẩu, email, mật khẩu email và mã PIN ATM liên quan đến các cá nhân, cơ quan chính phủ, tổ chức giáo dục và doanh nghiệp hoạt động tại Colombia.

Check Point cho biết: "Một yếu tố quan trọng trong thành công của nó là khả năng khai thác các nền tảng chia sẻ tệp hợp pháp, bao gồm Google Drive, Dropbox, Bitbucket và GitHub, cho phép nó bỏ qua các biện pháp bảo mật truyền thống và phát tán phần mềm độc hại. Ngoài ra, việc sử dụng các công cụ phần mềm tội phạm ngầm như Remcos RAT, HeartCrypt và PureCrypter củng cố mối liên hệ sâu sắc của nó với hệ sinh thái tội phạm mạng, cấp quyền truy cập vào các kỹ thuật trốn tránh tinh vi và các phương pháp truy cập liên tục"./.

Hạnh Tâm