تحلیل جامع حملات پیچیده گروه BlindEagle (APT-C-36) به زیرساخت‌های دولتی

گروه BlindEagle که یک بازیگر تهدید سایبری با تمرکز بر آمریکای جنوبی است، در جدیدترین عملیات خود سطح بی‌سابقه‌ای از پیچیدگی فنی را به نمایش گذاشته است. این حملات که عمدتاً سازمان‌های دولتی کلمبیا را هدف قرار داده‌اند، نشان‌دهنده تغییر استراتژی از بدافزارهای ساده به زنجیره‌های حمله چندمرحله‌ای و بدون فایل (Fileless) است.

---

۱. استراتژی فیشینگ: سوءاستفاده از اعتماد داخلی

نقطه آغاز این حملات، مهندسی اجتماعی بسیار دقیق است. برخلاف حملات سنتی که از سرورهای ناشناس ارسال می‌شوند، BlindEagle از حساب‌های کاربری هک‌شده در داخل خود سازمان‌های دولتی استفاده می‌کند.

• جعل هویت قضایی: ایمیل‌ها با ظاهر رسمی قوه قضاییه کلمبیا و با موضوعاتی نظیر «اعلان دعوای کارگری» ارسال می‌شوند. استفاده از اصطلاحات حقوقی دقیق، قربانی را مجاب می‌کند که موضوع فوری و حیاتی است.

• عبور از فیلترهای امنیتی: از آنجایی که ایمیل از یک آدرس داخلی و معتبر ارسال شده است، سیستم‌های امنیتی ایمیل (Email Gateways) که معمولاً ترافیک خارجی را بررسی می‌کنند، به آن مشکوک نمی‌شوند.

۲. زنجیره حمله فنی: از تصویر تا حافظه

این گروه برای جلوگیری از شناسایی توسط آنتی‌ویروس‌های مبتنی بر فایل، یک فرآیند پیچیده را طراحی کرده است که در آن هیچ فایل مخربی روی هارد دیسک ذخیره نمی‌شود.

• فایل SVG هوشمند: پیوست ایمیل یک فایل تصویری SVG است. این فایل حاوی کدهای HTML کدگذاری شده است که کاربر را به یک پورتال وب جعلی هدایت می‌کند. این پورتال دقیقاً مشابه سایت رسمی قوه قضاییه کلمبیا طراحی شده است.

• استفاده از PowerShell و استگانوگرافی: پس از تعامل کاربر با سایت، یک دستور PowerShell اجرا می‌شود. این دستور تصویری را از سایت معتبر Internet Archive دانلود می‌کند. با استفاده از تکنیک استگانوگرافی (پنهان‌نگاری)، کد مخرب در داخل پیکسل‌های این تصویر مخفی شده است.

• اجرا در حافظه (Reflection): اسکریپت PowerShell کد مخرب را از تصویر استخراج کرده و با استفاده از قابلیت .NET Reflection، آن را مستقیماً در حافظه رم (RAM) بارگذاری و اجرا می‌کند. این یعنی هیچ فایلی روی دیسک نوشته نمی‌شود تا آنتی‌ویروس بتواند آن را اسکن کند.

۳. بدافزارهای مورد استفاده و قابلیت‌ها

در این کمپین، دو بدافزار اصلی شناسایی شده‌اند که مکمل یکدیگر هستند:

• Caminho: یک دانلودکننده (Downloader) که وظیفه برقراری ارتباط با سرور مهاجم و دریافت ابزارهای نهایی را دارد. شواهد نشان می‌دهد که بخش‌هایی از کد این بدافزار به زبان پرتغالی نوشته شده است.

• DCRAT (Decoy Rat): تروجان دسترسی از راه دور که از طریق شبکه توزیع محتوای (CDN) دیسکورد دریافت می‌شود. قابلیت‌های آن شامل موارد زیر است:

  • خنثی‌سازی AMSI: این بدافزار رابط اسکن بدافزار مایکروسافت را در حافظه اصلاح (Patch) می‌کند تا آنتی‌ویروس سیستم عملاً فلج شود.

  • سرقت اطلاعات: توانایی سرقت رمزهای عبور، ضبط کلیدهای فشرده شده (Keylogging) و دسترسی به دوربین و میکروفون.

  • پایداری: با ایجاد وظایف زمان‌بندی شده (Scheduled Tasks)، حتی پس از ری‌استارت شدن سیستم نیز فعال باقی می‌ماند.

---

تحلیل فنی زیرساخت‌ها و ابزارهای حمله

جدول زیر خلاصه‌ای از ابزارها و تکنیک‌های شناسایی شده در این حمله را نشان می‌دهد:

مرحله حمله	ابزار/تکنیک مورد استفاده	هدف فنی
نفوذ اولیه	فیشینگ از حساب هک شده داخلی	دور زدن امنیت ایمیل و جلب اعتماد
هدایت	فایل SVG و JavaScript	انتقال قربانی به سایت جعلی بدون تحریک آنتی‌ویروس
میزبانی بدافزار	Internet Archive و Discord CDN	استفاده از سرویس‌های قانونی برای مخفی کردن ترافیک مخرب
مخفی‌سازی	Steganography در تصاویر	پنهان کردن کد مخرب در قالب یک فایل تصویری بی‌خطر
فرار از شناسایی	در حافظه (In-memory) و AMSI Patching	غیرفعال کردن مکانیسم‌های دفاعی ویندوز

---

چرا این حمله اهمیت جهانی دارد؟

گرچه تمرکز فعلی BlindEagle بر کلمبیا و اکوادور است، اما تکنیک‌های آن‌ها (مانند سوءاستفاده از Internet Archive برای میزبانی بدافزار یا استفاده از تصاویر SVG برای هدایت کاربران) می‌تواند به سرعت توسط گروه‌های دیگر در سراسر جهان کپی‌برداری شود. تکامل این گروه از یک مهاجم ساده به یک بازیگر APT (تهدید پیشرفته و مستمر) نشان‌دهنده دسترسی گروه‌های منطقه‌ای به ابزارهای جاسوسی در سطح نظامی است.