تحلیل جامع حملات پیچیده گروه BlindEagle (APT-C-36) به زیرساختهای دولتی
اخبار داغ فناوری اطلاعات و امنیت شبکه
تحلیل جامع حملات پیچیده گروه BlindEagle (APT-C-36) به زیرساختهای دولتی
گروه BlindEagle که یک بازیگر تهدید سایبری با تمرکز بر آمریکای جنوبی است، در جدیدترین عملیات خود سطح بیسابقهای از پیچیدگی فنی را به نمایش گذاشته است. این حملات که عمدتاً سازمانهای دولتی کلمبیا را هدف قرار دادهاند، نشاندهنده تغییر استراتژی از بدافزارهای ساده به زنجیرههای حمله چندمرحلهای و بدون فایل (Fileless) است.
۱. استراتژی فیشینگ: سوءاستفاده از اعتماد داخلی
نقطه آغاز این حملات، مهندسی اجتماعی بسیار دقیق است. برخلاف حملات سنتی که از سرورهای ناشناس ارسال میشوند، BlindEagle از حسابهای کاربری هکشده در داخل خود سازمانهای دولتی استفاده میکند.
-
جعل هویت قضایی: ایمیلها با ظاهر رسمی قوه قضاییه کلمبیا و با موضوعاتی نظیر «اعلان دعوای کارگری» ارسال میشوند. استفاده از اصطلاحات حقوقی دقیق، قربانی را مجاب میکند که موضوع فوری و حیاتی است.
-
عبور از فیلترهای امنیتی: از آنجایی که ایمیل از یک آدرس داخلی و معتبر ارسال شده است، سیستمهای امنیتی ایمیل (Email Gateways) که معمولاً ترافیک خارجی را بررسی میکنند، به آن مشکوک نمیشوند.
۲. زنجیره حمله فنی: از تصویر تا حافظه
این گروه برای جلوگیری از شناسایی توسط آنتیویروسهای مبتنی بر فایل، یک فرآیند پیچیده را طراحی کرده است که در آن هیچ فایل مخربی روی هارد دیسک ذخیره نمیشود.
-
فایل SVG هوشمند: پیوست ایمیل یک فایل تصویری SVG است. این فایل حاوی کدهای HTML کدگذاری شده است که کاربر را به یک پورتال وب جعلی هدایت میکند. این پورتال دقیقاً مشابه سایت رسمی قوه قضاییه کلمبیا طراحی شده است.
-
استفاده از PowerShell و استگانوگرافی: پس از تعامل کاربر با سایت، یک دستور PowerShell اجرا میشود. این دستور تصویری را از سایت معتبر Internet Archive دانلود میکند. با استفاده از تکنیک استگانوگرافی (پنهاننگاری)، کد مخرب در داخل پیکسلهای این تصویر مخفی شده است.
-
اجرا در حافظه (Reflection): اسکریپت PowerShell کد مخرب را از تصویر استخراج کرده و با استفاده از قابلیت .NET Reflection، آن را مستقیماً در حافظه رم (RAM) بارگذاری و اجرا میکند. این یعنی هیچ فایلی روی دیسک نوشته نمیشود تا آنتیویروس بتواند آن را اسکن کند.
۳. بدافزارهای مورد استفاده و قابلیتها
در این کمپین، دو بدافزار اصلی شناسایی شدهاند که مکمل یکدیگر هستند:
-
Caminho: یک دانلودکننده (Downloader) که وظیفه برقراری ارتباط با سرور مهاجم و دریافت ابزارهای نهایی را دارد. شواهد نشان میدهد که بخشهایی از کد این بدافزار به زبان پرتغالی نوشته شده است.
-
DCRAT (Decoy Rat): تروجان دسترسی از راه دور که از طریق شبکه توزیع محتوای (CDN) دیسکورد دریافت میشود. قابلیتهای آن شامل موارد زیر است:
-
خنثیسازی AMSI: این بدافزار رابط اسکن بدافزار مایکروسافت را در حافظه اصلاح (Patch) میکند تا آنتیویروس سیستم عملاً فلج شود.
-
سرقت اطلاعات: توانایی سرقت رمزهای عبور، ضبط کلیدهای فشرده شده (Keylogging) و دسترسی به دوربین و میکروفون.
-
پایداری: با ایجاد وظایف زمانبندی شده (Scheduled Tasks)، حتی پس از ریاستارت شدن سیستم نیز فعال باقی میماند.
-
تحلیل فنی زیرساختها و ابزارهای حمله
جدول زیر خلاصهای از ابزارها و تکنیکهای شناسایی شده در این حمله را نشان میدهد:
| مرحله حمله | ابزار/تکنیک مورد استفاده | هدف فنی |
| نفوذ اولیه | فیشینگ از حساب هک شده داخلی | دور زدن امنیت ایمیل و جلب اعتماد |
| هدایت | فایل SVG و JavaScript | انتقال قربانی به سایت جعلی بدون تحریک آنتیویروس |
| میزبانی بدافزار | Internet Archive و Discord CDN | استفاده از سرویسهای قانونی برای مخفی کردن ترافیک مخرب |
| مخفیسازی | Steganography در تصاویر | پنهان کردن کد مخرب در قالب یک فایل تصویری بیخطر |
| فرار از شناسایی | در حافظه (In-memory) و AMSI Patching | غیرفعال کردن مکانیسمهای دفاعی ویندوز |
چرا این حمله اهمیت جهانی دارد؟
گرچه تمرکز فعلی BlindEagle بر کلمبیا و اکوادور است، اما تکنیکهای آنها (مانند سوءاستفاده از Internet Archive برای میزبانی بدافزار یا استفاده از تصاویر SVG برای هدایت کاربران) میتواند به سرعت توسط گروههای دیگر در سراسر جهان کپیبرداری شود. تکامل این گروه از یک مهاجم ساده به یک بازیگر APT (تهدید پیشرفته و مستمر) نشاندهنده دسترسی گروههای منطقهای به ابزارهای جاسوسی در سطح نظامی است.
برچسب ها: BlindEagle, امنیت_سایبری, cybersecurity, phishing, هکر, فیشینگ, بدافزار, news