Napredna prijetnja poznata kao APT-C-36, koja se obično naziva “Slijepi orao”, aktivna je od 2018. godine i predstavlja značajnu prijetnju za ključne sektore širom Latinske Amerike.
Ovaj sofisticirani akter pokazuje uporan fokus na kolumbijske organizacije, provodeći koordinisane napade na vladine institucije, finansijske organizacije i kritičnu infrastrukturu putem pažljivo planiranih kampanja lažnog predstavljanja i raspoređivanja udaljenih pristupačnih trojanaca (RAT-ova).
Glavna operativna metodologija ove grupe temelji se na taktikama socijalnog inženjeringa, a primarno koristi e-poruke za lažno predstavljanje koje sadrže zlonamjerne URL-ove kako bi inicirala proces kompromitovanja.
“Slijepi orao” je pokazao izuzetnu prilagodljivost u svojim vektorima napada, posebno eksploatišući ranjivosti poput CVE-2024-43451, nedostatka u operativnom sistemu Microsoft Windows koji omogućava otkrivanje NTLMv2 heševa lozinki uz minimalnu interakciju korisnika sa zlonamjernim datotekama.
Uprkos tome što je Microsoft izdao ispravku u novembru 2024., akteri prijetnje nastavljaju da iskorištavaju mehanizam minimalne interakcije, razvijajući svoje tehnike kako bi održali operativnu efikasnost.
Nedavne informacije prikupljene od novembra 2024. godine ukazuju na kontinuiranu kampanju u kojoj su članovi “Slijepog orla” usavršili svoje mehanizme isporuke.
Kada ciljani primaoci kliknu na zlonamjerne URL-ove, sekvenca napada pokreće WebDAV zahtjev preko HTTP porta 80, koristeći prepoznatljivu oznaku korisničkog agenta ‘Microsoft-WebDAV-MiniRedir/10.0.19044’.
WebDAV, protokol koji omogućava prijenos datoteka i direktorija putem interneta, postaje kanal za isporuku sljedeće faze tereta i izvršavanje zlonamjernog softvera na kompromitovanim sistemima.
Analitičari kompanije Darktrace identificirali su značajnu operaciju “Slijepog orla” krajem februara 2025. godine na mreži kupca u Kolumbiji, gdje su akteri prijetnje pokazali sposobnost dovršavanja potpunog ciklusa napada unutar pet sati.
Analiza je otkrila da je kompromitovani uređaj uspostavio vezu sa eksternom IP adresom 62[.]60[.]226[.]112, geolociranom u Njemačkoj, prije preuzimanja izvršnog tereta ‘hxxp://62[.]60[.]226[.]112/file/3601_2042.exe’.
Analiza komandno-kontrolne arhitekture napada otkriva sofisticirane operativne sigurnosne mjere.
Nakon početnog kompromitovanja, zaraženi uređaj je uspostavio komunikaciju sa dinamičkim DNS krajnjim tačkama, specifično ’21ene.ip-ddns[.]com’ i ‘diciembrenotasenclub[.]longmusic[.]com’, koristeći TCP port 1512 za izvršavanje komandi.
Dinamičke DNS usluge pružaju akterima prijetnje otpornu infrastrukturu automatskim ažuriranjem DNS zapisa kada se IP adrese promijene, omogućavajući trajni pristup uprkos mrežnim odbranama.
Istraga je otkrila aktivnosti izdvajanja podataka ukupne zapremine 65,6 MiB putem oba krajnja tačka, sa 60 MiB prenesenih na primarni komandni server i 5,6 MiB na sekundarnu infrastrukturu, što demonstrira sistematičan pristup grupe krađi podataka iz kompromitovanih okruženja.