在全球网络安全态势日益严峻的背景下,Blind Eagle这一威胁组织显著活跃于南美地区,尤其对哥伦比亚政府和关键行业实施持续且复杂的攻击活动。自2018年以来,该组织通过多种恶意工具和策略,结合最新的威胁技术,不断强化其攻击手法,给受害组织的信息安全带来了重大挑战。Blind Eagle近期被发现具备五个明显的攻击集群,这些集群涉及了从2024年5月到2025年7月的活动,揭示了该组织多样化且灵活的作战模式以及对目标环境的深刻理解。Blind Eagle主要通过远程访问木马(RATs)、精准的钓鱼攻击以及动态域名服务(Dynamic DNS)构建其攻击基础设施。他们利用开源和破解版的RAT工具,包括Lime RAT、DCRat、AsyncRAT以及Remcos RAT,针对政府机关、金融、教育、石油能源、医疗、制造和专业服务等多个行业展开入侵,同时兼顾财务驱动和网络间谍的作战需求。钓鱼攻击成为该组织成功的关键环节之一。
攻击者针对哥伦比亚本土用户设计伪造的钓鱼诱饵,模拟政府机关发送的电子邮件,附带恶意文档或链接。许多链接利用URL缩短服务以规避安全检测,并在用户访问时通过地理封锁策略进行重定向,确保只在特定地区打开恶意内容,提升攻击的隐蔽性与精准打击能力。攻击基础设施方面,Blind Eagle采用由哥伦比亚ISP的IP地址支持的命令与控制(C2)服务器,结合虚拟私人服务器和VPN服务,利用如Proton666、Powerhouse Management、FrootVPN和TorGuard等服务商,增强匿名性和弹性。同时,动态DNS服务如duckdns.org、ip-ddns.com和noip.com被广泛运用,帮助伪装基础设施的真实位置和快速切换。更加狡猾的是,该组织充分利用合法互联网服务,如Bitbucket、Discord、Dropbox、GitHub、Google Drive、Internet Archive及部分区域性图片托管网站,将恶意负载藏匿其中,令主流安全防护机制难以察觉。行动层面,Blind Eagle通过层层嵌套的脚本执行链条,复杂化攻击过程。
钓鱼邮件通常携带SVG格式的附件,该附件指向Discord的内容分发网络以获取JavaScript脚本,继而从Paste.ee下载PowerShell脚本,该脚本解码执行另一个在Internet Archive托管的JPEG图片中的.NET组件。此过程极大地提升了攻击的隐蔽性,使得检测和响应更加困难。从具体集群分析来看,五个集群时间及侧重点各异。第一集群主要集中在2025年2月至7月,针对哥伦比亚政府机构使用DCRat、AsyncRAT及Remcos RAT;第二集群于2024年9月至12月,覆盖政府、教育、防御和零售领域,使用AsyncRAT和XWorm木马;第三集群则从2024年9月至2025年7月,持续部署AsyncRAT与Remcos RAT;第四集群横跨2024年5月至2025年2月,侧重于利用仿冒哥伦比亚主要银行(如Banco Davivienda、Bancolombia、BBVA)的钓鱼基础设施进行攻势;第五集群聚焦2025年3月至7月,使用Lime RAT及破解版AsyncRAT与前几个集群相关联。值得注意的是,破解的AsyncRAT工具此前与其他针对哥伦比亚网络环境的威胁组织,如Red Akodon和Shadow Vector有关联,显示出威胁工具的跨组织流通与共享现象。行业分布上,Blind Eagle的约60%攻击目标为政府部门,其次涉及教育、医疗、零售、运输、防御和石油等多个关键行业,这显示其对国家关键基础设施及核心社会领域的高度关注。
尽管该组织在部分南美国家和北美讲西班牙语的社区也有活动,但哥伦比亚依旧是其最主要的攻击焦点。专家们对Blind Eagle的动机存在诸多猜测。一方面,组织使用破解工具和公开资源,展现出典型的财务驱动型网络犯罪特征;另一方面,其针对政府机构和关键行业的持续渗透,以及某些隐蔽的渗透方式暗示可能存在某种国家支持背景或网络间谍活动。无论如何,该组织对成熟手法的坚持和灵活运用,使其在地区内的攻击持续有效。针对Blind Eagle威胁集团,哥伦比亚及地区相关部门需加强电子邮件安全防护,提升钓鱼邮件的识别能力,并针对远程访问木马的活动进行重点监控。借助现代威胁情报服务和先进的行为分析技术,将有助于及早发现异常行为并阻断攻击链条。
同时,强化动态DNS服务的监控和合法云服务的异常利用排查,也是防御盲眼鹰攻击的关键方向。总结来看,Blind Eagle展示了典型的现代复杂网络攻击特征,以多样化的恶意工具和混合的基础设施进行高效隐蔽的渗透活动,对哥伦比亚及南美地区的网络安全环境形成持续威胁。只有通过多层次、多策略的安全防御体系,结合国际情报共享与本地安全实施,才能有效遏制该类威胁的发展,保护国家和企业的信息资产安全。
