Investigadores de Check Point Research han identificado una serie de ciberataques dirigidos a instituciones y entidades gubernamentales en Colombia, atribuidos a un actor de amenazas con actividad sospechosa desde hace tiempo en América del Sur.
Según un informe publicado el 10 de marzo, el grupo de amenazas, rastreado como Blind Eagle o APT-C-36, ha llevado a cabo múltiples campañas desde noviembre de 2024. Los atacantes emplearon una variante de la vulnerabilidad CVE-2024-43451, la cual permite exponer el hash NTLMv2 de Windows de un usuario.
Un aspecto destacado de Blind Eagle es su capacidad para lograr un alto número de infecciones en un corto período, a pesar de estar enfocado en objetivos gubernamentales. «Las campañas monitoreadas se dirigieron a instituciones judiciales colombianas y otras organizaciones gubernamentales o privadas, alcanzando tasas de infección significativamente altas», señalaron los investigadores de Check Point Software.
EL ATAQUE
Las campañas recientes de Blind Eagle se refieren a una variante de CVE-2024-43451, que Microsoft parcheó el 12 de noviembre. En su forma original, la falla de día cero se explotaba utilizando archivos .url maliciosos y podía desencadenarse a través de «acciones inusuales del usuario, como hacer clic con el botón derecho en el archivo, eliminarlo o realizar una operación de arrastrar y soltar». Check Point señaló que la vulnerabilidad se utilizó originalmente para atacar a entidades ucranianas el año pasado.
Seis días después del parche, se rastreó Blind Eagle utilizando una variante del exploit que no expone el hash NTLMv2, pero se usó de manera similar a CVE-2024-43451. El exploit infectó a las víctimas con y sin parches contra la falla original.
https://www.darkreading.com/cyberattacks-data-breaches/apt-blind-eagle-targets-colombian-government
