MAESTRO-NERO

CyberSecurty انضم الى قناتنا على التلجرام هنا
الصفحة الرئيسية
Access

Blind Eagle is back now using Russian bulletproof hosting

استخدام Blind Eagle لخدمة Proton66 لاستهداف بنوك كولومبية عبر هجمات تصيّد وسكربتات VBS وتنصيب أدوات RAT.

مجموعة Blind Eagle تستخدم Proton66 في حملات تصيّد وتنصيب RAT ضد بنوك كولومبية

التصنيف: الجرائم السيبرانية / الثغرات

كشفت شركة Trustwave SpiderLabs عن أن مجموعة التهديد المعروفة باسم Blind Eagle اعتمدت على خدمة الاستضافة الروسية المقاومة للإزالة Proton66 لاستضافة مواقع تصيّد ونشر أدوات الوصول عن بعد (RATs).

التحليل الفني للحملة

أوضحت الشركة في تقرير نُشر الأسبوع الماضي أنها توصّلت إلى هذه النتيجة بعد تتبع الأصول الرقمية المرتبطة بـ Proton66، ما أدى إلى اكتشاف مجموعة تهديد نشطة تستخدم ملفات Visual Basic Script (VBS) كنقطة دخول أولى لتنزيل أدوات RAT مفتوحة المصدر.

رغم أن لغة VBS تُعد قديمة، إلا أنها لا تزال أداة فعّالة للوصول الأولي نظرًا لتوافقها مع أنظمة ويندوز وقدرتها على العمل في الخلفية بصمت. يستخدمها المهاجمون لتنزيل برمجيات خبيثة، تجاوز أدوات الحماية، والاندماج مع الأنشطة الشرعية.

تفاصيل البنية التحتية للهجوم

تم تحديد مجموعة من النطاقات ذات نمط تسمية موحّد مثل:

  • gfast.duckdns[.]org
  • njfast.duckdns[.]org

جميع هذه النطاقات تُوجّه إلى عنوان IP واحد: 45.135.232[.]38، والذي يرتبط مباشرةً بـ Proton66.

كما استخدم المهاجمون خدمة DuckDNS الديناميكية لتغيير النطاقات بسهولة مع الحفاظ على نفس عنوان الـ IP، ما يصعّب من عملية الكشف والتتبع.

الأهداف: بنوك كولومبية

استهدفت صفحات التصيّد مؤسسات مالية كولومبية معروفة مثل:

  • Bancolombia
  • BBVA
  • Banco Caja Social
  • Davivienda

تهدف هذه الصفحات إلى سرقة بيانات اعتماد الدخول والمعلومات الحساسة للمستخدمين.

التحميل والتنفيذ: من VBS إلى RAT

أكد الباحث الأمني Serhii Melnyk أن السكربتات المستضافة كانت تستخدم لتحميل ملفات تنفيذية مشفّرة من خوادم بعيدة، والتي بدورها تُنصّب RATs مثل:

  • AsyncRAT
  • Remcos RAT

التحليل الإضافي كشف عن تشابهات مع أداة تُعرف باسم Vbs-Crypter، وهي أداة تشفير تُباع ضمن خدمة اشتراكية تُدعى Crypters and Tools، تُستخدم لتشفير وتشويش سكربتات VBS بهدف تجاوز برامج الحماية.

لوحة التحكم والبنية الخلفية

وجدت Trustwave أيضًا لوحة تحكم تُستخدم لإدارة الأجهزة المصابة، استرجاع البيانات المسروقة، والتفاعل مع نقاط النهاية المصابة عبر وظائف مشابهة لأنظمة إدارة RAT الشائعة.

ثغرة CVE-2024-43451 واستخدامها الأخير

في تقرير منفصل، كشفت شركة Darktrace عن حملة جديدة للمجموعة نفسها بدأت منذ نوفمبر 2024، استغلت خلالها ثغرة CVE-2024-43451 في نظام ويندوز (وتم تصحيحها لاحقًا) لتنفيذ الحمولة التالية من الهجوم.

وتعليقًا على ذلك، قالت الشركة:

"استمرار مجموعة Blind Eagle في تنفيذ الهجمات وتكيّفها مع الأوضاع الأمنية، حتى بعد إصدار التصحيحات، يُبرز أهمية إدارة الثغرات الأمنية بفعالية. ومع ذلك، فإن التحديثات وحدها لا تكفي كدفاع كامل."