Blind Eagle volta a atacar organizações públicas e privadas

Blind Eagle volta a atacar organizações públicas e privadas. Um dos grupos cibercriminosos mais perigosos da América Latina volta a atacar organizações públicas e privadas

Especialistas da Check Point Software descobriram novas e alarmantes campanhas de ataque do Blind Eagle (APT-C-36), um grupo APT latino-americano que tem como alvo entidades governamentais da Colômbia, o sistema judiciário e organizações privadas

A Check Point Research (CPR), divisão de Inteligência de Ameaças da Check Point Software, descobriu uma série de campanhas cibernéticas direcionadas pelo Blind Eagle (APT-C-36), um dos grupos de ameaças mais perigosos da América Latina. Dias após a Microsoft lançar uma correção para a vulnerabilidade CVE-2024-43451, o grupo começou a empregar uma técnica semelhante envolvendo arquivos [.]url maliciosos, demonstrando como os atacantes podem transformar atualizações de segurança em armas contra suas vítimas. A CPR identificou que uma campanha resultou em mais de 9.000 vítimas em apenas uma semana, indicando que as táticas atuais desse grupo são altamente eficazes.

Os ataques utilizam plataformas confiáveis como Google Drive, Dropbox, GitHub e Bitbucket para distribuir o malware, contornando as defesas de segurança tradicionais. A equipe da CPR descobriu também mais de 1.600 infecções a partir de uma única campanha — um número alarmante, considerando o caráter direcionado dos ataques APT. O malware final, o Remcos RAT, permite roubo de dados, execução remota e acesso persistente ao sistema comprometido.

Os cibercriminosos agem rapidamente, mas o Blind Eagle (APT-C-36) está demonstrando quão veloz pode ser essa adaptação. Esse infame grupo APT, conhecido por atacar o sistema judiciário, instituições governamentais e organizações privadas da Colômbia, lançou uma nova campanha que evidencia como os atacantes podem transformar patches de segurança em armas contra seus alvos.

A equipe da CPR alerta para o fato de que essa campanha destaca a crescente sofisticação das ameaças cibernéticas e a necessidade de defesas proativas para combatê-las.

Transformando um patch da Microsoft em arma cibernética

Em 12 de novembro de 2024, a Microsoft lançou um patch para a CVE-2024-43451, uma vulnerabilidade que expunha hashes NTLMv2, permitindo que atacantes sequestrassem credenciais de usuários. Em resposta, o Blind Eagle desenvolveu uma técnica usando arquivos [.]url, não para explorar diretamente a vulnerabilidade, mas para rastrear vítimas e iniciar downloads de malware.

Essa tática é especialmente perigosa porque exige interação mínima do usuário. Apenas clicar com o botão direito, excluir ou arrastar o arquivo pode disparar uma solicitação WebDAV, notificando os atacantes de que o arquivo foi acessado. Se a vítima então clicar no arquivo, a próxima fase do ataque é iniciada, resultando em um comprometimento total do sistema.

A furtividade desse método torna a detecção extremamente difícil. Diferente de malwares tradicionais que exigem que o usuário abra um anexo ou habilite macros, esses arquivos [.]url agem passivamente, notificando os atacantes antes mesmo de serem executados. Isso permite que o Blind Eagle identifique e priorize vítimas em potencial, pois seus arquivos maliciosos enviam alertas quando acessados.

Plataformas confiáveis na nuvem são o novo mecanismo de distribuição de malware

O Blind Eagle já havia utilizado serviços em nuvem legítimos anteriormente e continua explorando essa tática, dificultando ainda mais a detecção por ferramentas de segurança.

A CPR identificou o Blind Eagle usando:

Google Drive

Dropbox

GitHub

Bitbucket

Ao disfarçar malware como arquivos aparentemente inofensivos hospedados em serviços confiáveis, o grupo Blind Eagle consegue evadir filtros de segurança tradicionais. Quando uma vítima interage com o arquivo malicioso, o malware é baixado e executa um trojan de acesso remoto (RAT), concedendo controle total do sistema aos atacantes.

Esse método também permite que o Blind Eagle atualize rapidamente suas cargas maliciosas sem precisar modificar sua infraestrutura de ataque. Se uma conta de hospedagem for derrubada, eles podem simplesmente fazer o upload do malware em outra conta na nuvem e continuar suas operações.

A cadeia completa do ataque

Uma vez executado, o malware implantado pelo Blind Eagle é projetado para furtividade, persistência e exfiltração de dados. A carga final utilizada nesta campanha é o malware Remcos RAT, um trojan de acesso remoto amplamente utilizado, que concede aos atacantes controle total sobre a máquina infectada.

Após a infecção, o malware pode:

– Capturar credenciais do usuário registrando teclas digitadas e roubando senhas armazenadas.

– Modificar e excluir arquivos, permitindo que os atacantes sabotem sistemas ou criptografem dados para resgate.

– Estabelecer persistência, criando tarefas agendadas e modificações no registro, garantindo que o malware sobreviva a reinicializações.

– Exfiltrar informações sensíveis, enviando-as de volta para os servidores C2 (comando e controle) operados pelo Blind Eagle.

A velocidade com que o Blind Eagle transformou uma vulnerabilidade recém-corrigida em arma levanta uma preocupação crítica: os cibercriminosos estão se adaptando mais rapidamente.

De acordo com os especialistas da Check Point Software, esse caso evidencia uma tendência preocupante na guerra cibernética moderna: os atores de ameaça não esperam mais pela divulgação de vulnerabilidades zero-day. Em vez disso, monitoram ativamente patches de segurança, nos analisam e descobrem maneiras de replicar ou reutilizar o comportamento do exploração antes que as organizações implementem suas defesas completamente.

A capacidade do Blind Eagle de integrar rapidamente uma exploração corrigida em suas campanhas sugere que os cibercriminosos estão se tornando mais ágeis, inovadores e preparados. As equipes de segurança devem reagir acelerando suas estratégias de gerenciamento de patches e implementando soluções de prevenção de ameaças baseadas em IA para detectar ameaças emergentes antes que possam causar danos.

Com os grupos APT evoluindo suas táticas rapidamente, as organizações devem abandonar modelos tradicionais de segurança e adotar uma estratégia proativa de defesa.

Principais medidas para mitigar essas ameaças:

. Reforçar a segurança de e-mails – O Blind Eagle depende fortemente de phishing para distribuir malware. Soluções robustas de segurança de e-mail podem detectar e bloquear anexos maliciosos antes que alcancem os usuários.

. Implementar proteção em tempo real nos endpoints – Detecção comportamental, como Harmony Endpoint, pode identificar interações suspeitas com arquivos e impedir a execução do malware antes que cause danos.

. Monitorar tráfego da web e atividade DNS – Como o Blind Eagle usa armazenamento em nuvem, as equipes de segurança devem analisar conexões de rede saindo da organização e sinalizar acessos incomuns a plataformas confiáveis.

. Treinamento contínuo de conscientização em segurança – Funcionários continuam sendo o elo mais fraco. Treinamentos regulares sobre phishing e comportamento suspeito de arquivos podem evitar ataques bem-sucedidos.

. Utilizar soluções avançadas de prevenção de ameaças – Ferramentas como Check Point Threat Emulation e Harmony Endpoint oferecem proteção abrangente contra as táticas descritas neste relatório.