سوءاستفاده گروه Blind Eagle از Proton66 برای توزیع بدافزار در کمپین‌های فیشینگ هدفمند

گروه تهدید پیشرفته Blind Eagle از زیرساخت‌های Proton66 برای میزبانی بدافزارهای خود در حملات فیشینگ پیشرفته استفاده می‌کند. این کمپین‌ها، با هدف کاربران آمریکای لاتین، شامل لینک‌های آلوده و فایل‌های مخرب هستند که دسترسی از راه دور به سیستم قربانی را فراهم می‌سازند.

Blind Eagle که با نام APT-C-36 نیز شناخته می‌شود، یک گروه هکری با منشأ کلمبیا است که به‌صورت متمرکز کاربران و نهادهای دولتی و تجاری در آمریکای لاتین را هدف قرار می‌دهد. در گزارش جدید مشخص شده است که این گروه از سرویس میزبانی Proton66 برای انتشار ابزارهای کنترل از راه دور (RAT) استفاده می‌کند.

حملات این گروه معمولاً از طریق ایمیل‌های فیشینگ آغاز می‌شود که دارای پیوست یا لینک آلوده هستند. این ایمیل‌ها معمولاً با محتوای محلی‌سازی‌شده و مرتبط با امور مالی یا دولتی طراحی می‌شوند تا قربانی را فریب دهند.

در صورتی که قربانی روی لینک آلوده کلیک کند یا فایل را اجرا کند، بدافزار به سیستم نفوذ کرده و مهاجمین را قادر می‌سازد تا کنترل کامل از راه دور به دستگاه داشته باشند. از جمله ابزارهایی که این گروه استفاده می‌کند می‌توان به njRAT و Quasar اشاره کرد.

یکی از ویژگی‌های بارز این کمپین، استفاده از زیرساخت‌های قانونی مانند Proton66 برای دور زدن فیلترهای امنیتی است. این زیرساخت‌ها باعث می‌شوند ترافیک مخرب به عنوان ترافیک عادی شناسایی شود.

محققان امنیتی پیشنهاد می‌دهند برای مقابله با چنین تهدیداتی، کاربران از فیلتر ایمیل‌های فیشینگ، به‌روزرسانی نرم‌افزارها، اجرای سیاست‌های محدودکننده و نظارت پیوسته بر ترافیک شبکه استفاده کنند.

The Hacker News – Blind Eagle Uses Proton66 Hosting for Targeted Malware Attacks