2024 年 11 月 12 日,微软修补了 CVE-2024-43451,该漏洞暴露了 NTLMv2 哈希,允许攻击者劫持用户凭据。作为回应,Blind Eagle 开发了一种使用 .url 文件的技术,不是直接利用漏洞,而是跟踪受害者并触发恶意软件下 载 文件攻击受害者 。
这种攻击方法特别危险,因为它需要的用户交互很少。只需右键单击、删除或拖动文件即可触发 WebDAV 请求,从而通知攻击者该文件已被访问。如果受害者随后点击该文件,则会下载并执行下一阶段的有效负载,从而导致全面入侵。
这种方法的隐蔽 文件攻击受害者 性使得检测变得困难
与需要用户打开附件或启用宏的传统恶意软件不同,这些 .url 文件的行为是被动的,甚至在执行之前就向攻击者报告。这可以让 Blind Eagle 在部署完整的恶意软件负载之前识别并优先考虑潜在受害者,因为他们的恶意 .url 文件在被访问时会通知攻击者。
可信云平台:新的恶意软件传播机制
Blind Eagle 之前曾利用过合法的基于云的服务,并且继续这样做,与可疑域名相比,安全工具更难检测和标记其恶意活动。
随着 APT 组织的策略迅速演变,组织必须超越传统的安全模型,采取主动的防御策略。
esearch (CPR) 发现了拉丁美洲最危险 秘鲁手机号 的威胁行为者之一 Blind Eagle (APT-C-36) 发起的一系列持续有针对性的网络攻击活动
在微软发布 CVE-2024-43451 修复程序几天后,该组织开始采用涉及有害 .url 文件的类似技术,展示了攻击者如何将安全更新转变为针对受害者的武器
CPR一周内发现超过9,000 例感染
攻击利用 Google Drive、Dropbox、GitHub 和 Bitbucket 等受信任的平台分发有效载荷,绕过传统的安全防御措施
最后一款恶意软件 Remcos RAT 可实现数据窃取、远程执行和持久访问
Blind Eagle 的网络间谍策略正在快速演变
网络罪犯行动迅速,但 Blind Eagle (APT-C-36) 正在证明其 将团队成员排除在对话之外 速度之快。这个臭名昭著的高级持续性威胁 (APT) 组织以哥伦比亚司法系统、政府机构和私人组织为目标而闻名,它发起了一场新活动,展示了攻击者如何利用安全补丁对目标实施攻击。
就在微软修补 CVE-2024-43451 六天后,Blind Eagle 在其攻击武器库中加入了类似的方法,使用恶意 .url 文件跟踪受害者并执行恶意软件。这种技术使他们能够在无需受害者任何互动的情况下识别潜在目标,使他们的方法比传统的网络钓鱼活动更为隐蔽。
CPR 发现,单次攻击就造成 1,600 多次感染— 鉴于 APT 攻击的针对性,这一数字令人震惊。尤其令人担忧的是,该组织能够通过使用 Google Drive、Dropbox、GitHub 和 Bitbucket 等合法云平台来传播恶意软件,从而绕过安全措施。
此次活动凸显了网络威胁日益复杂化以及采取主动防御措施的必要性。
减轻这些威胁的关键步骤包括
加强电子邮件安全– Blind Eagle 主要依靠网络钓鱼电子邮件来传递其负载。强大的电子邮件安全解决方案可以在恶意附件到达用户之前检测并阻止它们。
实施实时端点保护——使用Harmony Endpoint进行基于行为的 ig 号码 测可以识别可疑文件交互并在造成损害之前阻止恶意软件执行。
监控网络流量和 DNS 活动——由于 Blind Eagle 利用云存储服务,安全团队必须分析出站网络连接并向可信平台标记异常请求。
加强安全意识培训——员工仍然是网络安全中最薄弱的环节。定期进行识别网络钓鱼企图和可疑文件行为的培训可以防止成功的攻击。
利用先进的威胁预防解决方案— 传统的基于签名的安全工具难以抵御快速发展的威胁。Check Point Threat Emulation 与 Harmony Endpoint 结合,可提供跨攻击策略、文件类型和操作系统的全面保护,防御本报告中描述的确切威胁。