Trustwave SpiderLabs的研究表明，名为Blind Eagle的威胁行为者疑似利用俄罗斯防弹主机服务Proton66进行攻击。攻击者使用VBS脚本作为初始攻击载体，部署远程访问木马（RAT），并依赖DuckDNS等动态DNS服务来逃避检测。这些攻击针对哥伦比亚银行等机构，通过钓鱼页面和恶意软件加载器窃取数据。VBS代码与付费加密服务工具存在重叠，表明攻击者使用了混淆技术来规避检测。此发现与Darktrace披露的Blind Eagle活动相符，强调了即使在漏洞修复后，攻击者仍能快速调整其战术。

🛡️攻击者利用Proton66等防弹主机服务，因其无视滥用举报，使钓鱼网站、C2服务器和恶意软件分发系统得以持续运作。研究人员发现与该服务关联的数字资产，揭示了活跃的攻击集群。

🎣攻击者使用VBS脚本作为初始攻击载体，VBS脚本兼容性高、静默运行，被用于下载恶意加载器、绕过杀毒软件。这些脚本还会部署AsyncRAT、Remcos RAT等商用木马，针对哥伦比亚银行等机构。

🌐攻击者依赖DuckDNS等动态DNS服务，通过轮换子域名关联同一IP，增加了防御方检测难度。这些域名托管多种恶意内容，包括钓鱼页面和恶意软件初始阶段的VBS脚本。

🔑VBS代码与付费加密服务Crypters and Tools的Vbs-Crypter工具存在重叠，该服务专门混淆VBS载荷以规避检测。Trustwave还发现一个僵尸网络控制面板，支持操控受感染设备、窃取数据并通过RAT管理套件交互受控终端。

🚨自2024年11月起，Blind Eagle持续利用已修复的Windows漏洞攻击哥伦比亚机构，下载后续攻击载荷。Darktrace强调，及时漏洞管理和补丁应用虽必要，但不足以独立应对此类威胁。

HackerNews 编译，转载请注明出处：

网络安全公司Trustwave SpiderLabs近期报告证实，被称为Blind Eagle的威胁行为者高度疑似使用俄罗斯防弹主机服务Proton66。研究人员通过追踪与该服务关联的数字资产，发现一个活跃攻击集群：其利用VBS脚本作为初始攻击载体，部署现成的远程访问木马（RAT）。

攻击者青睐Proton66等防弹主机服务，因其故意无视滥用举报和法律取缔要求，使钓鱼网站、C2服务器和恶意软件分发系统得以持续运作。2024年8月起，研究人员发现一组命名模式相似的域名（如gfast.duckdns[.]org），均解析至Proton66关联IP（45.135.232[.]38）。此类攻击还依赖DuckDNS等动态DNS服务——攻击者通过轮换子域名关联同一IP，大幅增加防御方检测难度。

这些域名托管多种恶意内容，包括针对哥伦比亚银行（Bancolombia、BBVA等）的钓鱼页面，以及作为恶意软件初始阶段的VBS脚本。后者实为加载器，可下载加密可执行文件并部署AsyncRAT、Remcos RAT等商用木马。VBS脚本虽显陈旧，但因兼容性高、静默运行特性，仍被用于下载恶意加载器、绕过杀毒软件并混入正常用户活动，成为多阶段攻击的首选入口点。

技术分析显示，VBS代码与付费加密服务Crypters and Tools的Vbs-Crypter工具存在重叠，该服务专门混淆VBS载荷以规避检测。此外，Trustwave还发现一个僵尸网络控制面板，支持操控受感染设备、窃取数据并通过RAT管理套件交互受控终端。

此发现与Darktrace披露的Blind Eagle活动形成印证：自2024年11月起，该组织持续利用已修复的Windows漏洞（CVE-2024-43451）攻击哥伦比亚机构，下载后续攻击载荷。Check Point在2025年3月首次记录此行为，凸显其战术适应能力——即使补丁发布后，仍能快速调整既定战术（TTPs）。Darktrace强调：“及时漏洞管理和补丁应用虽必要，但不足以独立应对此类威胁。”

 

 

 

---

消息来源： thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文