Blind Eagle nutzt Proton66-Hosting für Angriffe auf kolumbianische Banken

BOGOTÁ / LONDON (IT BOLTWISE) – Der Bedrohungsakteur Blind Eagle, auch bekannt als AguilaCiega, hat sich auf die Nutzung des russischen Bulletproof-Hosting-Dienstes Proton66 spezialisiert, um Phishing-Angriffe und die Verbreitung von Remote-Access-Trojanern (RATs) auf kolumbianische Banken zu orchestrieren.

Der Bedrohungsakteur Blind Eagle, der auch unter den Namen AguilaCiega, APT-C-36 und APT-Q-98 bekannt ist, hat sich auf die Nutzung des russischen Bulletproof-Hosting-Dienstes Proton66 spezialisiert. Diese Dienste ignorieren absichtlich Missbrauchsmeldungen und rechtliche Abschaltungsanfragen, was es Angreifern erleichtert, Phishing-Seiten, Command-and-Control-Server und Malware-Verteilungssysteme ungestört zu betreiben.

Trustwave SpiderLabs hat in einem kürzlich veröffentlichten Bericht mit hoher Zuverlässigkeit festgestellt, dass Blind Eagle Proton66 nutzt. Durch die Verknüpfung von Proton66-assoziierten digitalen Assets wurde ein aktiver Bedrohungscluster entdeckt, der Visual Basic Script (VBS) Dateien als initialen Angriffsvektor verwendet und handelsübliche Remote-Access-Trojaner (RATs) installiert.

Die Cybersecurity-Firma identifizierte eine Reihe von Domains mit einem ähnlichen Namensmuster, die alle auf dieselbe IP-Adresse (45.135.232.38) aufgelöst wurden, die mit Proton66 in Verbindung steht. Die Nutzung von dynamischen DNS-Diensten wie DuckDNS spielt ebenfalls eine Schlüsselrolle in diesen Operationen. Anstatt jedes Mal neue Domains zu registrieren, rotieren Angreifer Subdomains, die an eine einzige IP-Adresse gebunden sind, was die Erkennung für Verteidiger erschwert.

Die betroffenen Domains wurden genutzt, um eine Vielzahl von bösartigen Inhalten zu hosten, darunter Phishing-Seiten und VBS-Skripte, die als erste Stufe der Malware-Bereitstellung dienen. Diese Skripte fungieren als Loader für Werkzeuge der zweiten Stufe, die in dieser Kampagne auf öffentlich verfügbare und oft Open-Source-RATs beschränkt sind.

Obwohl Visual Basic Script (VBS) veraltet erscheinen mag, bleibt es ein bevorzugtes Werkzeug für den initialen Zugriff aufgrund seiner Kompatibilität mit Windows-Systemen und der Fähigkeit, im Hintergrund unauffällig zu laufen. Angreifer nutzen es, um Malware-Loader herunterzuladen, Antiviren-Tools zu umgehen und sich in normale Benutzeraktivitäten einzufügen. Diese leichten Skripte sind oft der erste Schritt in mehrstufigen Angriffen, die später Remote-Access-Trojaner (RATs), Datendiebe oder Keylogger bereitstellen.

Die Phishing-Seiten wurden bei legitimen kolumbianischen Banken und Finanzinstituten gefunden, darunter Bancolombia, BBVA, Banco Caja Social und Davivienda. Die täuschenden Seiten sind darauf ausgelegt, Benutzeranmeldedaten und andere sensible Informationen zu sammeln. Die VBS-Nutzlasten, die auf der Infrastruktur gehostet werden, sind mit Fähigkeiten ausgestattet, verschlüsselte ausführbare Dateien von einem entfernten Server abzurufen, im Wesentlichen als Loader für handelsübliche RATs wie AsyncRAT oder Remcos RAT zu fungieren.

Darüber hinaus hat eine Analyse der VBS-Codes Überschneidungen mit Vbs-Crypter aufgedeckt, einem Tool, das mit einem abonnementbasierten Crypter-Dienst namens Crypters and Tools in Verbindung steht, der zur Verschleierung und Verpackung von VBS-Nutzlasten verwendet wird, um die Erkennung zu vermeiden.

Trustwave entdeckte auch ein Botnet-Panel, das es Benutzern ermöglicht, infizierte Maschinen zu steuern, exfiltrierte Daten abzurufen und mit infizierten Endpunkten durch eine breite Palette von Fähigkeiten zu interagieren, die typischerweise in handelsüblichen RAT-Management-Suiten zu finden sind.

Die Enthüllung erfolgt, während Darktrace Details einer Blind Eagle-Kampagne bekannt gab, die seit November 2024 kolumbianische Organisationen ins Visier nimmt, indem eine inzwischen gepatchte Windows-Schwachstelle (CVE-2024-43451) ausgenutzt wird, um die nächste Nutzlast herunterzuladen und auszuführen, ein Verhalten, das erstmals von Check Point im März 2025 dokumentiert wurde.

Die Beharrlichkeit von Blind Eagle und die Fähigkeit, seine Taktiken anzupassen, selbst nachdem Patches veröffentlicht wurden, sowie die Geschwindigkeit, mit der die Gruppe in der Lage war, weiterhin vorab etablierte TTPs zu verwenden, unterstreichen, dass ein zeitnahes Schwachstellenmanagement und die Anwendung von Patches zwar unerlässlich, aber keine eigenständige Verteidigung sind.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!