Blind Eagle nutzt Proton66-Hosting für Angriffe auf kolumbianische Banken

LONDON (IT BOLTWISE) – Die Bedrohungsakteure, bekannt als Blind Eagle, haben mit hoher Sicherheit die Nutzung des russischen Bulletproof-Hosting-Dienstes Proton66 für ihre Angriffe auf kolumbianische Banken bestätigt.

Die Cyberkriminellen-Gruppe Blind Eagle, auch bekannt als AguilaCiega, APT-C-36 und APT-Q-98, hat sich auf Angriffe gegen südamerikanische Ziele spezialisiert, insbesondere in Kolumbien und Ecuador. Jüngste Berichte zeigen, dass sie den russischen Hosting-Dienst Proton66 nutzen, der für seine Resistenz gegen Missbrauchsmeldungen und rechtliche Abschaltanfragen bekannt ist. Diese Dienste ermöglichen es Angreifern, Phishing-Websites, Command-and-Control-Server und Malware-Verteilungssysteme ohne Unterbrechung zu betreiben. Trustwave SpiderLabs konnte durch die Verknüpfung von Proton66-bezogenen digitalen Assets eine aktive Bedrohungsgruppe identifizieren, die Visual Basic Script (VBS) Dateien als initialen Angriffsvektor verwendet und Remote-Access-Trojaner (RATs) installiert. Obwohl VBS als veraltet gelten mag, bleibt es aufgrund seiner Kompatibilität mit Windows-Systemen und seiner Fähigkeit, im Hintergrund unbemerkt zu laufen, ein beliebtes Werkzeug für den Erstzugriff. Angreifer nutzen es, um Malware-Loader herunterzuladen, Antiviren-Tools zu umgehen und sich in normale Benutzeraktivitäten einzufügen. Diese leichten Skripte sind oft der erste Schritt in mehrstufigen Angriffen, die später RATs, Datendiebe oder Keylogger einsetzen. Die Phishing-Seiten zielen auf legitime kolumbianische Banken und Finanzinstitute wie Bancolombia, BBVA, Banco Caja Social und Davivienda ab. Die VBS-Payloads, die auf der Infrastruktur gehostet werden, sind mit Fähigkeiten ausgestattet, verschlüsselte ausführbare Dateien von einem Remote-Server abzurufen, und fungieren im Wesentlichen als Loader für gängige RATs wie AsyncRAT oder Remcos RAT. Eine Analyse der VBS-Codes hat Überschneidungen mit Vbs-Crypter ergeben, einem Tool, das mit einem abonnementbasierten Crypter-Dienst namens Crypters and Tools in Verbindung steht, der zur Verschleierung und Verpackung von VBS-Payloads verwendet wird, um eine Erkennung zu vermeiden. Trustwave entdeckte auch ein Botnet-Panel, das es Nutzern ermöglicht, infizierte Maschinen zu kontrollieren, exfiltrierte Daten abzurufen und mit infizierten Endpunkten über eine breite Palette von Funktionen zu interagieren, die typischerweise in gängigen RAT-Management-Suiten zu finden sind. Die Enthüllung erfolgt, nachdem Darktrace Details einer Blind Eagle-Kampagne veröffentlicht hat, die seit November 2024 kolumbianische Organisationen ins Visier nimmt, indem eine inzwischen gepatchte Windows-Schwachstelle (CVE-2024-43451) ausgenutzt wird, um die nächste Payload herunterzuladen und auszuführen. Diese Beharrlichkeit von Blind Eagle und die Fähigkeit, ihre Taktiken anzupassen, selbst nachdem Patches veröffentlicht wurden, sowie die Geschwindigkeit, mit der die Gruppe in der Lage war, etablierte TTPs weiter zu nutzen, unterstreichen, dass ein zeitnahes Schwachstellenmanagement und die Anwendung von Patches zwar unerlässlich, aber keine alleinstehende Verteidigung sind.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!