安全星图平台

盲眼鹰

从2018年4月起至今，一个疑似来自南美洲的APT组织盲眼鹰针对哥伦比亚政府机构和大型公司（金融、石油、制造等行业）等重要领域展开了有组织、有计划、针对性的长期不间断攻击。

历史活动组织概况 IOC情报

2023-08-25
BlindEagle组织针对哥伦比亚发起攻击安恒威胁情报中心

近日，研究人员捕获一起针对哥伦比亚地区的APT攻击事件，通过与以往感染链的对比分析发现，此次事件的攻击者为BlindEagle组织。该组织将伪装成参加法外调解听证会通知的钓鱼邮件发送给受害者，以此诱导受害者点击邮件附件，从而下载远控后门程序，达到窃取隐私信息的目的。
2023-06-27
盲眼鹰近期攻击手法分析安恒威胁情报中心

近期APT-C-36组织使用加密自解压压缩包以及LNK文件等对目标人群进行鱼叉钓鱼攻击，经过进一步分析溯源发现APT-C-36组织长期针对南美洲国家使用多平台投递钓鱼文件分发多个开源RAT后门软件，结果表明该组织在不断更新自己的武器库以及攻击流程。攻击流程与以往不同的是在压缩包内打包了Keylogger键盘监控程序。攻击者通过将携带恶意文件链接的PDF文件通过邮件进行投递，同时在PDF文件中还标注了恶意压缩文件的压缩密码诱使用户信任，并访问恶意链接下载载荷文件解压运行。
2023-04-24
Blind Eagle组织新的攻击链部署NjRAT木马安恒威胁情报中心

Blind Eagle组织与一个新的多阶段攻击链相关，该攻击链会在受感染的系统上部署NjRAT远程访问木马。Blind Eagle组织使用一个JavaScript下载程序来执行托管在Discord CDN中的PowerShell脚本。该脚本会分发另一个PowerShell脚本和一个Windows批处理文件，并在Windows启动文件夹中保存一个VBScript文件以实现持久性。然后运行VBScript代码以启动批处理文件，批处理文件随后被解密，以运行之前与之一起分发的PowerShell脚本。在最后阶段，PowerShell脚本会执行njRAT。
2023-04-19
APT-C-36组织针对哥伦比亚地区部署LimeRAT组件安恒威胁情报中心

近期，研究人员发现并捕获到了盲眼鹰组织针对哥伦比亚地区的攻击行动。该组织一如既往地采用鱼叉攻击，以PDF文件作为入口点，诱导用户点击文档里面的恶意链接下载RAR压缩包文件。该压缩包文件需要输入诱饵文档中的提示密码才能解压，解压后是伪装成PDF文件图标的VBS脚本。该脚本被用户点击执行后将开启一段复杂多阶段的无文件攻击链，最终加载的是LimeRAT远控木马，而没有使用前期的AsyncRAT、NjRAT远控木马，这都表明该组织攻击武器丰富多样化，不同时期会使用不同的攻击木马。
2023-03-01
Blind Eagle攻击哥伦比亚司法、金融、公共和执法实体安恒威胁情报中心

APT-C-36(又名Blind Eagle)是一个南美网络间谍组织，在过去几年中一直积极针对位于拉丁美洲的实体。2月20日，研究人员发现了该组织的新活动。攻击者冒充哥伦比亚政府税务机构，针对哥伦比亚的关键行业，包括卫生、金融、执法、移民和负责和平谈判的机构。基于感染媒介和有效载荷部署机制，研究人员还发现了针对厄瓜多尔、智利和西班牙的活动。
2023-01-10
APT-C-36组织针对厄瓜多尔组织部署Quasar RAT 安恒威胁情报中心

APT-C-36组织又名Blind Eagle，至少从2018年开始就一直在对南美洲各国公民发起攻击。在最近针对厄瓜多尔的活动中，研究人员检测到一个新的感染链，其中涉及更先进的工具集。攻击始于伪装成哥伦比亚政府的网络钓鱼电子邮件，最终会安装开源木马Quasar RAT。攻击者会分析传入HTTP请求以检查目标是否来自哥伦比亚境外，如果来自境外则中止攻击。此次活动的最终目标是拦截并访问受害者的银行账户。
2022-12-27
APT-C-36组织近期攻击活动分析安恒威胁情报中心

APT-C-36是一个疑似来自南美洲的APT组织，近期常采用鱼叉攻击，以PDF文件作为入口点，诱导用户点击文档里面的恶意链接下载RAR压缩包文件。大部分压缩包文件需要密码才能解压，密码基本为4位纯数字，解压后是伪装成PDF文件名的VBS脚本。VBS脚本被用户点击执行后将开启一段复杂多阶段的无文件攻击链，最终加载程序为混淆过的AsyncRAT或NjRAT木马，并且加入了绕过AMSI机制的代码，这都表明该组织在不断优化其攻击武器。
2022-04-27
APT-C-36（盲眼鹰）针对哥伦比亚国家攻击简报安恒威胁情报中心

APT-C-36（盲眼鹰），是一个疑似来自南美洲的、主要针对哥伦比亚的APT组织，该组织自2018年持续发起针对哥伦比亚的攻击活动。近期，研究人员监测到了APT-C-36组织针对哥伦比亚国家发起的多次钓鱼邮件定向攻击。APT-C-36经常使用鱼叉攻击，通过伪装成政府部门对受害者发送钓鱼邮件，此次发现的两次行动都采用了邮件投递第一阶段的载荷。第一次行动伪装DHL包裹投递，主题使用出货通知单来迷惑中招目标；第二次投递伪装成政府邮件，发送伪装成pdf文件的恶意文档。
2022-04-07
“盲眼鹰”近期伪造司法禁令的攻击活动分析猎影实验室

盲眼鹰(APT-C-36)组织是一个疑似来自南美洲的、主要针对哥伦比亚的APT组织。近日，研究人员捕获到了盲眼鹰的攻击活动样本，感染链与之前的攻击活动保持相对一致，使用诱饵PDF作为入口点，诱导受害者点击短链接下载压缩包，解压后点击执行伪装为pdf的VBS脚本，从而开启一个复杂的多阶段无文件感染链。此次活动的诱饵伪装成哥伦比亚国家司法部门，使用西班牙语的诱饵文档，最终加载njRAT。
2021-09-17
疑似APT-C-36组织针对哥伦比亚用户的攻击活动猎影实验室

APT-C-36组织又名盲眼鹰，是一个疑似来自南美洲的、主要针对哥伦比亚的APT组织，该组织自2018年持续发起针对哥伦比亚的攻击活动。近日，研究人员发现并捕获到了疑似APT-C-36组织的攻击行动，恶意文档最终释放RAT对中招机器进行远程控制，已有国外哥伦比亚用户受到了影响。简况样本标题为FACTURACION-PDF-10-AGOSTO-2021.xlam，包含在多个压缩包中，压缩包的名字被伪装成了各种金融、政府相关标题，并且所有的文件名称都是西班牙语。此次捕获到的恶意表格文档内部没有内容，如果有不谨慎的用户随意点击了“启用宏”的按钮，其内部的宏代码就已经开始自动执行。安全声明如下图：
查看更多