Blind Eagle vinculado al host ruso Proton66 en ataques en Latinoamérica

Iniciado por AXCESS, Hoy a las 05:15:42 AM

Tema anterior - Siguiente tema

0 Miembros y 8 Visitantes están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Hoy a las 05:15:42 AM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Trustwave SpiderLabs, un equipo líder en investigación de ciberseguridad, ha vinculado con seguridad al grupo de ciberamenazas Blind Eagle (también llamado APT-C-36) con Proton66, una empresa rusa que ofrece servicios de hosting a prueba de bombas.

Blind Eagle es un actor de amenazas activo conocido por atacar a organizaciones en toda Latinoamérica, con especial atención a instituciones financieras en Colombia. Según se informa, este vínculo se debe al monitoreo continuo que SpiderLabs realizó a la infraestructura de Proton66 durante varios meses.

La infraestructura del ataque

Según la investigación de SpiderLabs, compartida con No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, sus analistas establecieron esta conexión examinando los activos vinculados a Proton66, lo que les llevó a una red interconectada de dominios y direcciones IP. Esta infraestructura, que se volvió notablemente activa en el verano de 2024 (con registros de dominios específicos observados a partir del 12 de agosto de 2024), depende en gran medida de servicios gratuitos de DNS dinámico (DDNS).



Su método de ataque inicial utiliza exclusivamente archivos Visual Basic Script (VBS). Estos scripts actúan como cargadores de troyanos de acceso remoto (RAT) comúnmente disponibles, software malicioso que permite a los atacantes controlar remotamente un equipo comprometido.

Análisis posteriores mostraron que algunas muestras de código VBS se solapaban con muestras previamente identificadas, generadas por un servicio llamado Vbs-Crypter, utilizado para ocultar y empaquetar cargas útiles maliciosas de VBS.

A pesar del alto valor potencial de sus objetivos, los actores de amenazas detrás de Blind Eagle mostraron sorprendentemente poco esfuerzo por ocultar su infraestructura operativa. Los investigadores encontraron numerosos directorios abiertos que contenían archivos maliciosos idénticos y, en algunos casos, incluso páginas completas de phishing diseñadas para suplantar la identidad de bancos colombianos reconocidos como Bancolombia, BBVA, Banco Caja Social y Davivienda. Estos sitios web falsos fueron creados para robar datos de inicio de sesión de usuarios y otra información financiera confidencial.

Página de phishing de Davivienda


Objetivos y Protección

Los sitios de phishing replicaban portales legítimos de inicio de sesión bancario mediante componentes web estándar. Además de estas páginas falsas, la infraestructura también albergaba scripts VBS que servían como primera etapa de la distribución del malware. Estos scripts incluían código diseñado para obtener privilegios administrativos en el equipo de la víctima y luego descargar cargas útiles adicionales, generalmente RAT comunes como Remcos o AsyncRAT.

Una vez infectado el sistema, estos RAT establecen una conexión con un servidor C2, lo que permite a los atacantes administrar los hosts comprometidos, robar datos y ejecutar comandos adicionales. Trustwave incluso observó un panel de administración de botnets con una interfaz en portugués, que mostraba un panel de control de las máquinas infectadas, principalmente en Argentina.

Trustwave confirmó previamente que la infraestructura de Proton66 está siendo explotada para actividades maliciosas, incluyendo campañas de los operadores del ransomware SuperBlack y la distribución de malware para Android.

Como informó No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, la infraestructura es un foco de ciberamenazas, incluyendo la distribución de malware para Android a través de sitios web de WordPress pirateados y ataques dirigidos que implementan malware específico como XWorm y Strela Stealer. Trustwave también detectó posibles conexiones con Chang Way Technologies, lo que indica el papel de Proton66 como facilitador clave para las operaciones cibercriminales.

La compañía advierte que las organizaciones en Latinoamérica, en particular las del sector financiero, deben reforzar su protección. Esto incluye fortalecer los sistemas de filtrado de correo electrónico, capacitar al personal para reconocer los intentos de phishing localizados y monitorear proactivamente los indicadores de amenazas y la infraestructura específica de la región.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario