近年来,网络攻击手法不断演进,攻击者利用先进技术绕过安全防线。近期,名为盲鹰(Blind Eagle)的威胁团伙被发现借助俄罗斯弹药防护主机服务Proton66,展开针对哥伦比亚主要银行及金融机构的钓鱼攻击和远程访问木马(RAT)部署。这一发现由知名网络安全公司Trustwave SpiderLabs披露,揭示了攻击者如何结合动态DNS服务和Visual Basic脚本(VBS)等多种手段,实施隐蔽且高效的攻击行动。盲鹰组织以其针对南美地区特殊是哥伦比亚和厄瓜多尔的攻击活动著称,被安全界视为高级持续性威胁组织(APT),在多个场合展现出极强的适应能力及隐蔽性。据报道,该组织自2024年8月以来,通过一系列域名,展现出精准而持久的攻击策略。这些域名模式相似,如gfast.duckdns.org和njfast.duckdns.org,均指向国际IP地址45.135.232.38,后者归属于Proton66托管服务。
动态DNS服务作为攻击基础设施的其中一环,提供了极大的便利:攻击者无需为每次攻击注册新域名,而是通过轮换子域名指向同一服务器以规避监控,从而有效延长其钓鱼站点及恶意服务的生存周期。攻击者首先利用Visual Basic脚本作为入侵的初始载体。尽管VBS技术看似过时,但在Windows环境中依旧具有极佳的兼容性和隐蔽执行能力,能够在后台无形运行并绕过多数防护检测。盲鹰组织的VBS文件充当“加载器”角色,负责递送后续恶意程序,包括AsyncRAT和Remcos等市场上普遍存在的远控木马工具。这些RAT工具一旦被植入受害机器,便可以实现远程操控、数据窃取及键盘记录等多种功能,极大威胁金融机构内部信息安全。值得注意的是,分析表明其VBS载荷经过特定的加密和混淆处理,涉及了名为Vbs-Crypter的订阅式加密服务,从而大大增加了安全防护系统检测和阻断的难度。
针对哥伦比亚四大知名银行——Bancolombia、BBVA、Banco Caja Social及Davivienda,盲鹰组织搭建了高度伪装的钓鱼网站,骗取用户银行账户登录信息及其他关键敏感数据。通过持续情报收集和漏洞利用,该团伙还针对Windows系统漏洞(如2024年曝光并修补的CVE-2024-43451)实施攻击,尽管漏洞已经得到官方修复,但盲鹰依然能够利用其先前部署的策略和工具进行持续攻击,突显出企业漏洞管理的复杂性及延迟补丁后的潜在风险。Trustwave报告进一步指出,盲鹰所利用的Proton66弹药防护主机提供了强大的“抗打击”能力,故意忽视恶意行为举报和法律清除请求,令攻击基础设施得以无阻运作。攻击群集管理面板被发现具备强大的凯控功能,能够全面控制感染终端,提取窃取数据,并通过多元化管理工具对被感染设备实施不同层次的操控。不仅如此,盲鹰行为还体现了攻击模式的多阶段特征:从初始钓鱼和VBS载荷,到远程木马的植入和指挥控制,完整呈现现代高级威胁组织如何层层递进进行大规模攻击。技术分析认定,盲鹰的持续性和灵活性,令人安全防务者难以仅依赖及时打补丁策略防御。
网络安全专家建议,金融机构和相关组织需实施多层次安全防护体系,结合威胁情报共享、行为监测、员工安全意识培训以及应急响应机制,以降低此类高级APT威胁造成的潜在损害。此外,动态DNS技术的滥用提醒监管机构和安全运营商需加强对相关托管服务的监管力度,实施有效的恶意域名监控和阻断策略。展望未来,盲鹰及类似威胁团伙将持续挖掘系统薄弱环节并灵活调整战术,网络安全攻防将进入更高复杂度的博弈阶段。金融行业作为关键基础设施,亟需增强针对多样化、高隐蔽性网络攻击的防护能力,提升整体韧性,保证用户资金和数据安全。结合本次盲鹰利用Proton66托管服务开展的钓鱼及远控木马攻击案例,我们可以看到先进威胁组织如何巧妙利用过时技术、动态DNS及弹药防护主机服务实现持续侵入,启示网络安全从业者必须不断提升检测能 力和响应速度,以应对日趋复杂多变的威胁环境。
