كشفت شركة Trustwave SpiderLabs عن حملة سيبرانية نشطة تُنسب بثقة عالية إلى مجموعة التهديد المعروفة باسم Blind Eagle، والتي استغلت خدمة الاستضافة الروسية المحصنة Proton66 في تنفيذ عمليات تصيّد إلكتروني وتوزيع برمجيات تحكم عن بعد (RATs) ضد مؤسسات مصرفية كولومبية.
بنية الهجوم: استضافة محصنة وملفات VBS خبيثة
اعتمد الباحثون في Trustwave على تحليل الأصول الرقمية المرتبطة بـ Proton66 لاكتشاف عنقود تهديد نشط يستخدم ملفات Visual Basic Script (VBS) كوسيلة أولية للاختراق. تقوم هذه الملفات بتنزيل برمجيات RAT جاهزة مثل AsyncRAT وRemcos RAT. وعلى الرغم من أن VBS تُعد تقنية قديمة، إلا أنها ما زالت مفضّلة لدى المهاجمين بفضل توافقها مع أنظمة Windows وقدرتها على العمل بصمت.
تجاهل Proton66 لشكاوى الإساءة وطلبات الإزالة القانونية يجعل منه منصة مثالية لمجرمي الإنترنت الذين يبحثون عن بيئة غير خاضعة للرقابة لنشر مواقع التصيّد وخوادم التحكم بالبرمجيات الخبيثة دون انقطاع.
البنية التحتية للهجوم: نطاقات ديناميكية وخوادم ثابتة
رُصدت نطاقات ذات نمط تسمية موحد منذ أغسطس 2024، جميعها مرتبطة بعنوان IP واحد “45.135.232[.]38” تابع لخدمة Proton66. استخدام خدمات DNS الديناميكي مثل DuckDNS يمكّن المهاجمين من تبديل النطاقات بسهولة دون الحاجة لتسجيل نطاقات جديدة، مما يصعّب مهمة تعقبهم على المدافعين الأمنيين.
تُستخدم هذه النطاقات لاستضافة صفحات تصيّد تستهدف مستخدمي بنوك كولومبية معروفة مثل Bancolombia، وBBVA، وBanco Caja Social، وDavivienda، بالإضافة إلى ملفات VBS خبيثة تعمل كمُحمّلات أولية للبرمجيات الضارة.
تشفير الحمولة وتحليل البنية البرمجية
أظهرت تحليلات الشيفرات البرمجية الخاصة بملفات VBS تطابقًا مع أداة Vbs-Crypter، وهي جزء من خدمة اشتراك تُعرف باسم “Crypters and Tools”، وتُستخدم لإخفاء وتعبئة الحمولة الخبيثة بهدف التهرب من اكتشاف برامج الحماية.
كما اكتشف الباحثون لوحة تحكم خاصة بشبكة بوت نت، تمكّن القائمين عليها من التحكم في الأجهزة المخترقة واسترجاع البيانات المسروقة والتفاعل مع الأنظمة المصابة عبر مجموعة واسعة من الوظائف التي تتوفر عادةً في أدوات إدارة برمجيات RAT.
استغلال ثغرات وبرمجيات محمية
في سياق متصل، كشفت شركة Darktrace عن تفاصيل حملة موازية للمجموعة ذاتها تستهدف منظمات كولومبية منذ نوفمبر 2024، من خلال استغلال ثغرة في نظام Windows (CVE-2024-43451) تم تصحيحها لاحقًا. وقد تم توثيق هذا النشاط لأول مرة من قبل Check Point في مارس 2025.
ورغم إصدار التصحيحات الأمنية، إلا أن المجموعة أظهرت قدرة لافتة على التكيّف مع الظروف واستمرار الهجوم باستخدام نفس الأدوات والتقنيات، مما يُظهر أن إدارة الثغرات وحدها لا تكفي كحل دفاعي، بل يجب أن تتكامل مع تدابير رصد وتحليل السلوكيات الضارة بشكل استباقي.
