信息来源:An overview of the BlindEagle APT’s activity in Latin America | Securelist (2024年8月19日)
在拉丁美洲的数字丛林中,一只名为 BlindEagle(又名APT-C-36)的“老鹰”已盘旋多年。这个自2018年起活跃的网络威胁组织,虽不依赖零日漏洞或复杂后门,却凭借精准的社会工程、灵活的战术切换与对公开工具的娴熟运用,持续对哥伦比亚、厄瓜多尔、智利、巴拿马等国的政府、金融、能源与交通部门发起攻击。
更令人警惕的是,BlindEagle并非单一目标的“黑客团伙”,而是一个能在金融犯罪与国家级网络间谍活动之间自由切换的“双面间谍”。它既能窃取银行凭证,也能长期潜伏于政府机构,窃取敏感情报。
一、攻击起点:高度定制化的钓鱼邮件
BlindEagle的攻击始于一场精心设计的“信任欺诈”。
1. 伪装身份,制造紧迫感
- 政府机构冒充:攻击者常伪造哥伦比亚税务局、外交部、总检察长办公室等官方机构的邮件;
- 金融实体模仿:在金融攻击中,则伪装成银行或金融机构,声称账户异常或需更新信息;
- 内容设计:邮件内容制造强烈紧迫感,如“法律传唤”、“税务问题”、“账户冻结”,诱导用户立即点击链接或打开附件。
2. 地理过滤:专攻拉美,规避分析
一个显著特点是其使用的URL短链具备地理定位功能:
- 若访问者来自非目标国家(如俄罗斯、美国),则被重定向至真实政府网站;
- 若来自哥伦比亚等目标国,则跳转至恶意服务器;
- 此举有效延长了恶意链接的“生命周期”,避免被全球安全厂商快速封禁。
二、感染链解析:多阶段投递,层层渗透
BlindEagle采用典型的多阶段攻击链,虽工具简单,但逻辑严密:
1. 初始载荷:伪装成文档的压缩包
- 附件为ZIP、LHA或UUE等压缩文件,伪装成“官方文件”;
- 解压后通常包含一个VBS脚本或恶意链接;
- 攻击者利用用户对LHA等冷门格式的陌生感,降低警惕性。
2. 第二阶段:从公开平台下载恶意代码
VBS脚本会连接攻击者控制的服务器,下载下一阶段载荷。值得注意的是,BlindEagle大量利用公共平台作为C2代理:
- Pastebin:存储Base64编码的恶意脚本;
- Discord CDN:托管图像或文本文件,内含隐藏载荷;
- GitHub仓库:存放.NET加载器或配置文件;
- 图片隐写术:在PNG或JPG图像中隐藏恶意代码,通过steganography技术提取。
3. 最终载荷:公开RAT的“魔改”版本
BlindEagle几乎从不自研后门,而是深度定制开源远程访问木马(RAT),根据攻击目标灵活切换:
| Quasar RAT | 金融攻击 | 添加浏览器监控,匹配哥伦比亚10家银行页面标题,触发键盘记录 |
| njRAT / AsyncRAT | 网络间谍 | 支持屏幕截图、系统信息收集、RDP会话创建、插件动态加载 |
| LimeRAT / BitRAT | 混合攻击 | 支持文件窃取、摄像头控制、远程命令执行 |
这些RAT通常通过进程空心化(Process Hollowing)技术注入到合法进程中(如explorer.exe),规避基于进程的检测。
三、技术演进:从简单到“模块化”的飞跃
尽管BlindEagle以“简单有效”著称,但2024年的最新攻击显示其技术能力正在快速进化。
1. 语言与基础设施的转变
- 2024年5月:一次针对哥伦比亚的间谍活动中,攻击者使用的脚本变量名与字符串全为葡萄牙语,而非惯用的西班牙语;
- 同时,C2基础设施使用巴西图像托管服务;
- 这一变化暗示其可能与巴西黑客团体合作,或外包部分攻击环节。
2. 新型加载器“HijackLoader”现身
- 2024年6月,BlindEagle引入名为 HijackLoader 的新型模块化加载器;
- 攻击链变为:
- 钓鱼邮件附带PDF/DOCX,内嵌链接;
- 用户下载的“法律文件”实为ASUS或IObit签名的合法可执行文件;
- 该程序通过DLL侧加载(DLL Sideloading)机制,加载恶意DLL;
- 恶意DLL激活HijackLoader,最终注入AsyncRAT。
这一变化标志着BlindEagle从“纯脚本攻击”向利用合法签名程序绕过安全软件的高级战术迈进。
四、双重目标:既是小偷,也是间谍
BlindEagle最危险的特质,是其攻击动机的可切换性:
1. 金融攻击模式
- 目标:普通民众、企业员工;
- 工具:修改版Quasar RAT;
- 手段:监控浏览器,一旦访问指定银行网站,立即启动键盘记录,窃取登录凭证;
- 目的:直接经济收益。
2. 网络间谍模式
- 目标:政府机构、司法部门、教育与交通系统;
- 工具:njRAT、AsyncRAT;
- 手段:长期驻留、屏幕截图、文件窃取、建立RDP后门;
- 目的:情报收集与战略渗透。
2024年5月至6月的两次间谍活动中,87%的受害者位于哥伦比亚,涉及政府、教育、医疗与交通部门,显示出其对特定国家的深度关注。
五、归因分析:数字指纹锁定BlindEagle
尽管工具多变,但其TTPs(战术、技术与程序)具有高度一致性:
- 钓鱼主题:长期聚焦拉美政府机构;
- 地理过滤:一贯使用带GEO功能的短链;
- C2基础设施:偏好DDNS服务与公共平台(Pastebin、Discord);
- 攻击链结构:始终采用“钓鱼 → VBS → 公共平台下载 → 开源RAT”模式;
- 目标选择:持续针对哥伦比亚等安第斯国家。
这些特征共同构成了BlindEagle的“行为指纹”,使其即便更换工具,仍可被追踪。
六、防御建议:应对BlindEagle的五大关键措施
- 加强员工安全意识培训:特别针对“政府通知类”邮件,建立验证流程;
- 禁用或监控VBS/PowerShell执行:尤其是从临时目录或下载文件夹启动的脚本;
- 限制对Pastebin、Discord CDN等平台的访问:或部署DLP系统监控数据外泄;
- 启用ASR规则阻止DLL侧加载:防止合法程序被滥用;
- 部署EDR与网络流量分析:检测进程空心化、异常C2通信(如连接GitHub私有仓库)。
结语:简单的工具,复杂的威胁
BlindEagle的案例再次证明:APT攻击的门槛正在降低,但威胁却在上升。它不需要昂贵的零日漏洞,只需一个伪造的“法院传票”和一段VBS脚本,就能打开通往国家机密的大门。
它的“双面性”提醒我们:今天的攻击者可能既是金融黑客,也是国家代理人。在网络安全的世界里,最危险的敌人,往往是那些你认为“不够高级”的人。
“他们不追求技术的巅峰,只追求最有效的控制。”
——来自对BlindEagle的深度观察