В последние годы кибербезопасность остаётся одной из ключевых проблем для финансового сектора по всему миру. Особенно уязвимыми оказываются организации в развивающихся странах, где инфраструктура защиты зачастую отстаёт от современных угроз. Одним из таких примеров стала активность хакерской группы Blind Eagle, которая в 2024-2025 годах активно проводила атаки на банковские учреждения Колумбии посредством фишинга и распространения удалённых троянов. Особое внимание вызывает использование преступниками российского bulletproof-хостинга Proton66, что осложняет блокировку и расследование инцидентов. Blind Eagle, также известная под именами AguilaCiega, APT-C-36 и APT-Q-98, специализируется на целевых атаках в странах Южной Америки, в первую очередь на Колумбию и Эквадор.
Их методы отличаются высокой степенью адаптации и постоянным совершенствованием технических приемов. Одной из характерных черт является применение Visual Basic Script (VBS) в качестве первоначального этапа атаки. Несмотря на кажущуюся устарелость, VBS остаётся удобным инструментом для внедрения вредоносного кода благодаря своей совместимости с Windows и способности работать скрытно. По данным компании Trustwave SpiderLabs, использованных для анализа безопасности, линейка доменов с подобным шаблоном, таких как gfast.duckdns.
org и njfast.duckdns.org, была связана с единственным IP-адресом 45.135.232.
38, который, в свою очередь, относится к хостинг-провайдеру Proton66. Последний давно известен как так называемый bulletproof-хостинг — сервис, который игнорирует жалобы на злоупотребления и отказываться от обслуживания подозрительных ресурсов. Это позволяет злоумышленникам без помех размещать фишинговые сайты, серверы управления вредоносным ПО и каналы его доставки. Использование динамических DNS-сервисов вроде DuckDNS добавляет атакующим гибкости. Вместо регистрации новых доменов они могут переключаться между поддоменами, что значительно затрудняет обнаружение и блокировку вредоносных ресурсов со стороны защитников.
Фишинговые страницы имитируют интерфейсы ведущих колумбийских банков, включая Bancolombia, BBVA, Banco Caja Social и Davivienda. Это позволяет эффективно похищать учетные данные пользователей и другую конфиденциальную информацию. VBS-скрипты, размещённые на серверах Proton66, выполняют роль загрузчиков, которые скачивают зашифрованные исполняемые файлы с удалённых ресурсов. Это файлы с коммерческими удалёнными троянами (RAT) типа AsyncRAT и Remcos RAT — инструментами, которые позволяют злоумышленникам получать полный контроль над заражёнными системами. Особенностью таких программ является возможность тайного сбора данных, установки дополнительных вредоносных компонентов и удалённого управления.
Анализ кода VBS также выявил использование Vbs-Crypter — сервиса обфускации и упаковки вредоносных скриптов, который помогает обходить антивирусное обнаружение. Таких сервисов всё больше на рынке вредоносных инструментов, и они доступны по подписке, что облегчает подготовку атак даже для низкоквалифицированных злоумышленников. В дополнение к техническим аспектам атаки Trustwave обнаружил панели управления ботнетами, которые обеспечивают полный контроль над инфицированными машинами, сбор и анализ похищенных данных. Такие панели позволяют злоумышленникам эффективно координировать атаки, выполнять сложные операции по разведке и длительному сохранению доступа к целевым системам. Другие исследования, включая отчёт компании Darktrace, подтвердили, что Blind Eagle активно эксплуатировал уязвимость в Windows (CVE-2024-43451) с ноября 2024 года.
Несмотря на то что патч для этой уязвимости был выпущен, группа продолжала нацеливаться на организации в Колумбии, что свидетельствует о высокой степени настойчивости и адаптивности злоумышленников. Это ещё раз подчёркивает, что своевременное обновление систем — важная, но недостаточная мера для защиты. Аналитики напоминают, что защита от подобных угроз требует комплексного подхода. Помимо своевременного патчинга, необходимо внедрение современных систем обнаружения вторжений, расширенного мониторинга сетевой активности и обучения пользователей для распознавания фишинговых атак. Банкам рекомендовано использовать многофакторную аутентификацию, а также регулярно проводить аудит безопасности и моделирование атак для выявления слабых мест.
Активность группы Blind Eagle демонстрирует растущую сложность современных киберугроз, включая использование тяжёлых для обнаружения тактик, таких как скрытые VBS-скрипты и динамические домены на bulletproof-хостингах. Российский Proton66 занимает в этой экосистеме ключевое место, предоставляя инфраструктуру, на которой развёрнуты управляющие сервера и вредоносные загрузчики. Международное сообщество и правоохранительные органы сталкиваются с большими вызовами при борьбе с подобными сервисами, что требует новых правовых механизмов и технических решений для выявления и блокировки преступной инфраструктуры. Кибербезопасность банковской сферы Колумбии должна стать приоритетом не только для отдельных финансовых организаций, но и для государства в целом. Создание эффективных систем обмена информацией о угрозах, совместных инициатив и международного сотрудничества будет способствовать снижению рисков и увеличению устойчивости к атакам от таких групп, как Blind Eagle.
В заключение стоит отметить, что ситуация с Blind Eagle и Proton66 служит наглядным примером того, как современные киберугрозы становятся всё более изощрёнными и опасными. Только комплексный, проактивный и глобально скоординированный подход позволит противостоять им и защитить критические финансовые инфраструктуры от разрушительных последствий. Каждая организация, особенно нарастившая цифровизацию, должна внимательно следить за последними трендами в атакующих технологиях и оперативно адаптировать свои механизмы защиты.
