Blind Eagle: Uno de los grupos cibercriminales más peligrosos de Latinoamérica ataca a Colombia

Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, ha descubierto una serie de campañas cibernéticas dirigidas y en curso por Blind Eagle (APT-C-36), uno de los actores de amenazas más peligrosos de Latinoamérica.

Las tácticas de ciberespionaje de Blind Eagle están evolucionando rápidamente.

Los cibercriminales se mueven con rapidez, Blind Eagle (APT-C-36) está demostrando su velocidad. El conocido grupo de amenazas persistentes avanzadas (APT), conocido por atacar al sistema judicial colombiano, instituciones gubernamentales y organizaciones privadas, ha lanzado una nueva campaña que demuestra cómo los atacantes pueden usar parches de seguridad como arma contra sus objetivos.

Tan solo seis días después de que Microsoft parcheara la vulnerabilidad CVE-2024-43451, Blind Eagle incorporó un método similar a su arsenal de ataques: archivos .url maliciosos para rastrear a las víctimas y ejecutar malware. Esta técnica les permite identificar objetivos potenciales sin la interacción de la víctima, lo que hace que su enfoque sea más sigiloso que las campañas de phishing tradicionales.

CPR descubrió más de 1600 infecciones en una sola campaña, una cifra asombrosa considerando la naturaleza específica de los ataques APT. Lo que resulta particularmente alarmante es la capacidad del grupo para eludir las medidas de seguridad mediante el uso de plataformas legítimas en la nube como Google Drive, Dropbox, GitHub y Bitbucket para distribuir su malware. Esta campaña subraya la creciente sofisticación de las ciberamenazas y la necesidad de defensas proactivas para contrarrestarlas.

Armando un parche de Microsoft: Cómo Blind Eagle usa archivos .URL para atacar a las víctimas

El 12 de noviembre de 2024, Microsoft parcheó la vulnerabilidad CVE-2024-43451, que exponía NTLMv2 hashes, lo que permitía a los atacantes secuestrar las credenciales de los usuarios. En respuesta, Blind Eagle desarrolló una técnica que utiliza archivos .URL, no para explotar la vulnerabilidad directamente, sino para rastrear a las víctimas y desencadenar la descarga de malware.

Este método de ataque es particularmente peligroso porque requiere una interacción mínima del usuario. Simplemente hacer clic derecho, eliminar o arrastrar el archivo puede activar una solicitud WebDAV, que notifica a los atacantes que se ha accedido al archivo. Si la víctima hace clic en el archivo, se descarga y ejecuta la carga útil de la siguiente etapa, lo que provoca una vulnerabilidad completa.

El sigilo de este método dificulta su detección. A diferencia del malware tradicional, que requiere que el usuario abra un archivo adjunto o habilite macros, estos archivos .url actúan de forma pasiva, informando a los atacantes incluso antes de ejecutarse. Esto permite a Blind Eagle identificar y priorizar a las posibles víctimas antes de desplegar la carga útil completa del malware, ya que sus archivos .url maliciosos notifican a los atacantes cuando se accede a ellos.

Plataformas en la nube de confianza: El nuevo mecanismo de distribución de malware

Blind Eagle ha utilizado anteriormente servicios legítimos basados en la nube y continúa haciéndolo, lo que dificulta que las herramientas de seguridad detecten y señalen su actividad maliciosa en comparación con los dominios sospechosos.

CPR identificó a Blind Eagle utilizando:

• Google Drive

• Dropbox

• GitHub

• Bitbucket

Al camuflar el malware como archivos aparentemente inofensivos alojados en servicios de confianza, Blind Eagle puede evadir los filtros de seguridad tradicionales. Cuando una víctima interactúa con el archivo malicioso, el malware descarga y ejecuta un troyano de acceso remoto (RAT), lo que otorga a los atacantes control total sobre el sistema comprometido. Este método también permite a Blind Eagle actualizar rápidamente sus cargas útiles de malware sin necesidad de reconfigurar su infraestructura de ataque. Si una cuenta de hosting se cae, simplemente pueden subir su malware a una nueva cuenta de almacenamiento en la nube y continuar con sus operaciones.

¿Qué sucede después de la infección? La cadena de ataque completa

Una vez ejecutado, el malware implementado por Blind Eagle está diseñado para el sigilo, la persistencia y la exfiltración de datos. La carga útil final utilizada en esta campaña es Remcos RAT, un troyano de acceso remoto ampliamente utilizado que otorga a los atacantes control total sobre un equipo infectado.

Tras la infección, el malware puede:

• Capturar credenciales de usuario registrando pulsaciones de teclas y robando contraseñas almacenadas.

• Modificar y eliminar archivos, lo que permite a los atacantes sabotear sistemas o cifrar datos para pedir un rescate.

• Establecer persistencia mediante la creación de tareas programadas y modificaciones del registro, lo que garantiza que sobreviva a los reinicios.

• Exfiltrar información confidencial y enviarla de vuelta a los servidores de comando y control (C2) operados por Blind Eagle.

CPR descubrió que una sola campaña causó más de 9000 víctimas en tan solo una semana, lo que indica que estas tácticas están demostrando ser altamente efectivas.

La rápida adaptación de Blind Eagle: ¿Una nueva tendencia en ciberataques?

La velocidad con la que Blind Eagle utilizó una vulnerabilidad recién parcheada como arma plantea una preocupación crucial: ¿Se están adaptando los ciberdelincuentes más rápido que los defensores?

Este caso destaca una tendencia preocupante en la ciberguerra moderna: los actores de amenazas ya no esperan a que se revelen las vulnerabilidades de día cero. En cambio, monitorean de cerca los parches de seguridad, los analizan y encuentran maneras de imitar o reutilizar el comportamiento del exploit antes de que las organizaciones hayan implementado completamente las defensas.

La capacidad de Blind Eagle para integrar rápidamente un exploit parcheado en sus campañas sugiere que los ciberdelincuentes se están volviendo más ágiles, innovadores y preparados. Los equipos de seguridad deben responder acelerando sus estrategias de gestión de parches e implementando soluciones de prevención de amenazas basadas en IA para detectar amenazas emergentes antes de que se afiancen.

Cómo pueden las organizaciones defenderse de los ataques de Blind Eagle

Dado que los grupos de APT evolucionan rápidamente sus tácticas, las organizaciones deben ir más allá de los modelos de seguridad tradicionales y adoptar una estrategia de defensa proactiva.

Las medidas clave para mitigar estas amenazas incluyen:

• Fortalecer la seguridad del correo electrónico: Blind Eagle se basa principalmente en correos electrónicos de phishing para distribuir sus cargas útiles. Una solución robusta de seguridad de correo electrónico puede detectar y bloquear archivos adjuntos maliciosos antes de que lleguen a los usuarios.

• Implementar protección de endpoints en tiempo real: La detección basada en el comportamiento con Harmony Endpoint puede reconocer interacciones sospechosas con archivos y bloquear la ejecución de malware antes de que se produzcan daños.

• Monitorizar el tráfico web y la actividad de DNS: Dado que Blind Eagle utiliza servicios de almacenamiento en la nube, los equipos de seguridad deben analizar las conexiones de red salientes y marcar las solicitudes inusuales a plataformas de confianza.

• Mejorar la formación en seguridad: Los empleados siguen siendo el eslabón más débil de la ciberseguridad. La formación regular para identificar intentos de phishing y comportamiento sospechoso de archivos puede prevenir ataques exitosos.

 • Aprovechamiento de soluciones avanzadas de prevención de amenazas: Las herramientas de seguridad tradicionales basadas en firmas tienen dificultades para hacer frente a amenazas en constante evolución. Check Point Threat Emulation, junto con Harmony Endpoint, ofrece protección integral contra tácticas de ataque, tipos de archivos y sistemas operativos, protegiendo contra las amenazas descritas en este informe.