Blind Eagleとは
Blind Eagle(別名:APT-C-36、AguilaCiega、APT-Q-98)は、2018年以降、コロンビアおよびエクアドルの政府機関、金融機関、重要インフラ分野を標的として活動している高度持続的脅威(APT)グループです。
このグループは、マルウェアのレパートリーを拡張しており、PureCrypterの亜種を使用しているほか、HeartCryptと呼ばれる「パッカー・アズ・ア・サービス(Packer-as-a-Service)」を利用して、難読化と検知回避を強化している可能性があります。
さらに、Blind EagleはC2(コマンド&コントロール)インフラを頻繁に変更し、Google Driveなどのクラウドストレージサービスを悪用してマルウェアを配布しているとみられ、同地域における脅威の進化を示しています。
Blind Eagleの攻撃は、スピアフィッシングメールから始まります。このメールには、悪意のある.URLファイルが添付されており、CVE-2024-43451(NTLMv2ハッシュ漏洩の脆弱性)を悪用します。なお、この脆弱性は、2024年11月にMicrosoftが修正済みです。
脆弱なシステムでは、.URLファイルを開かなくても自動的にWebDAVリクエストが送信され、攻撃者に通知されます。一方、パッチが適用されたシステムでは、ユーザーが.URLファイルを手動でクリックした場合にのみ感染が進行し、マルウェアがダウンロードされます。
この.URLファイルは、PureCrypterの亜種をダウンロードし、メモリ上で直接ペイロードを実行することで検知を回避します。PureCrypterは、Bitbucket、GitHub、または侵害されたGoogle Driveアカウントから、Remcos RAT、NjRAT、AsyncRATのような複数のリモートアクセス型トロイの木馬(RAT)を取得・展開します。
特にRemcos RATは、Windowsレジストリの変更やスケジュールタスクの作成によって永続化を確立し、システム再起動後も自動的に実行されるようにします。これらのマルウェアは、C2サーバーと通信し、認証情報、メール、システム情報の窃取や、リモートコマンドの実行を可能にします。
Blind Eagleが正規のファイル共有プラットフォームを悪用している点は、重大なサイバーセキュリティ上の脅威であり、積極的な防御と継続的な監視が求められます。
推奨される対策
- 自社環境におけるIoC(侵害の兆候)を監視し、異常を早期に検知する。
- Windows環境を最新の状態に保ち、多要素認証(MFA)を導入して保護を強化する。
- 包括的な脅威評価(フルスペクトラムアセスメント)を実施し、盲点や改善点を洗い出す。
※本文中に記載されている会社名・製品名は各社の登録商標または商標の場合があります。
本稿は、KPMGインドが発行している「Threat Intelligence Advisories 」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。また、本文中の数値や引用は、英語原文の出典によるものであることをお断りします。
