BlindEagle（盲鹰）黑客利用 PowerShell 脚本攻击哥伦比亚政府机构

Zscaler ThreatLabz 研究人员称，哥伦比亚政府机构正面临由 BlindEagle（盲鹰）黑客组织策划的复杂多阶段网络攻击活动，该组织利用被入侵的内部电子邮件帐户、PowerShell 脚本和隐写术在目标系统上部署远程访问木马。

这家网络安全公司在 2025 年 9 月初发现了这起鱼叉式网络钓鱼攻击，并揭露 BlindEagle 使用从同一组织内被盗用的帐户发送的电子邮件，攻击了哥伦比亚商业、工业和旅游部 (MCIT) 下属的机构。

这种内部攻击方式使攻击者能够绕过传统的电子邮件安全控制措施，包括 DMARC、DKIM 和 SPF 检查，同时利用机构的信任。

ThreatLabz 分析表明，该钓鱼邮件来自经组织 SPF 策略授权的合法Microsoft 365服务器，并且所有邮件轨迹标头看起来都是真实的。

这次攻击表明 BlindEagle 已经从部署单一恶意软件活动发展到策划涉及 Caminho 下载器和 DCRAT 远程访问木马的复杂多层攻击链。

攻击方法

该活动以一封冒充哥伦比亚司法系统的法律主题钓鱼邮件开始，邮件中包含捏造的案件编号，并紧急要求确认收据。

该消息包含一个SVG 图像附件，点击该附件后，会解码一个 Base64 编码的 HTML 页面，该页面模仿哥伦比亚官方司法门户网站。

与欺诈门户网站互动过的受害者会自动下载一个 JavaScript 文件，该文件会启动一个无文件攻击序列。

该恶意软件使用整数数组反混淆技术执行了三个 JavaScript 代码片段，每个阶段都会重构并启动后续有效载荷。

第三阶段 JavaScript 引入了基于 Unicode 的注释和复杂的字符串操作，以在通过 Windows 管理规范执行PowerShell 命令之前规避检测。

PowerShell 脚本从 Internet Archive 下载了一个图像文件，其中包含一个 Base64 编码的有效载荷，该有效载荷隐藏在标记为“BaseStart-”和“-BaseEnd”的特定标记之间。

具体来说，它利用 Windows 管理规范 (WMI) 来获取 Win32_Process 实例。

该脚本利用隐写术隐藏恶意代码，提取出嵌入的程序集，对其进行解码，然后使用反射技术将其动态加载为 .NET 模块。

恶意软件基础设施

ThreatLabz 确认加载的程序集为 Caminho，这是一款下载器恶意软件，于 2025 年 5 月首次出现在巴西网络犯罪市场。

下载完成后，该脚本会提取嵌入在两个特定标记之间的 Base64 编码有效载荷。

有证据表明，Caminho 是由讲葡萄牙语的开发者创建的，因为该恶意软件的主要方法包含葡萄牙语的参数名称，例如“caminho”（路径）和“extençao”（扩展名）。

BlindEagle 很早就采用了 Caminho，并利用它从 Discord 内容分发网络下载 DCRAT 有效载荷。

最终阶段的 DCRAT 恶意软件采用了进程空心化技术，启动合法的 MSBuild.exe 实用程序，并将恶意代码直接注入内存。

此AsyncRAT 变体具有 DCRAT 原始开源代码库中没有的 AES-256 加密配置和基于证书的命令与控制服务器身份验证功能。

ThreatLabz 发现全球有 24 个主机暴露了与 DCRAT 样本颁发者匹配的证书，其基础设施主要托管在 ASN 42708 (GleSYS AB) 下的瑞典 IP 地址上，而 GleSYS AB 是 BlindEagle 历来偏爱的托管提供商。

该组织还使用了来自 ydns.eu 的动态 DNS 服务，这与之前记录的操作模式一致。

研究人员根据基础设施偏好、哥伦比亚目标、法律主题诱饵、广泛使用 .NET 恶意软件、滥用合法服务（包括使用 Discord 托管有效载荷）以及有记录的隐写术技术，以中等置信度将此次攻击活动归因于 BlindEagle。

此次袭击凸显了 BlindEagle 对哥伦比亚政府实体的持续关注，并表明该组织采用了来自地下市场的复杂工具来增强其行动能力。

技术报告：

《BlindEagle 利用 Caminho 和 DCRAT 攻击哥伦比亚政府机构》

https://www.zscaler.com/blogs/security-research/blindeagle-targets-colombian-government-agency-caminho-and-dcrat