文章总结： BlindEagle组织利用被盗邮箱攻击哥伦比亚政府，通过鱼叉式钓鱼邮件和隐写术技术绕过安全检测。攻击链涉及PowerShell脚本、Caminho下载器及DCRAT木马，展示了其利用复杂多层攻击和地下市场工具增强行动能力的特点。 综合评分： 95 文章分类： 威胁情报,恶意软件,安全大事件,社会工程学

BlindEagle（盲鹰）黑客组织利用 PowerShell 脚本攻击哥伦比亚政府机构

会杀毒的单反狗

军哥网络安全读报

2025年12月23日 09:00 湖北

导读

Zscaler ThreatLabz 研究人员称，哥伦比亚政府机构正面临由 BlindEagle（盲鹰）黑客组织策划的复杂多阶段网络攻击活动，该组织利用被入侵的内部电子邮件帐户、PowerShell 脚本和隐写术在目标系统上部署远程访问木马。

这家网络安全公司在 2025 年 9 月初发现了这起鱼叉式网络钓鱼攻击，并揭露 BlindEagle 使用从同一组织内被盗用的帐户发送的电子邮件，攻击了哥伦比亚商业、工业和旅游部 (MCIT) 下属的机构。

这种内部攻击方式使攻击者能够绕过传统的电子邮件安全控制措施，包括 DMARC、DKIM 和 SPF 检查，同时利用机构的信任。

ThreatLabz 分析表明，该钓鱼邮件来自经组织 SPF 策略授权的合法Microsoft 365服务器，并且所有邮件轨迹标头看起来都是真实的。

这次攻击表明 BlindEagle 已经从部署单一恶意软件活动发展到策划涉及 Caminho 下载器和 DCRAT 远程访问木马的复杂多层攻击链。

攻击方法

该活动以一封冒充哥伦比亚司法系统的法律主题钓鱼邮件开始，邮件中包含捏造的案件编号，并紧急要求确认收据。

该消息包含一个SVG 图像附件，点击该附件后，会解码一个 Base64 编码的 HTML 页面，该页面模仿哥伦比亚官方司法门户网站。

与欺诈门户网站互动过的受害者会自动下载一个 JavaScript 文件，该文件会启动一个无文件攻击序列。

该恶意软件使用整数数组反混淆技术执行了三个 JavaScript 代码片段，每个阶段都会重构并启动后续有效载荷。

第三阶段 JavaScript 引入了基于 Unicode 的注释和复杂的字符串操作，以在通过 Windows 管理规范执行PowerShell 命令之前规避检测。

PowerShell 脚本从 Internet Archive 下载了一个图像文件，其中包含一个 Base64 编码的有效载荷，该有效载荷隐藏在标记为“BaseStart-”和“-BaseEnd”的特定标记之间。

具体来说，它利用 Windows 管理规范 (WMI) 来获取 Win32_Process 实例。

该脚本利用隐写术隐藏恶意代码，提取出嵌入的程序集，对其进行解码，然后使用反射技术将其动态加载为 .NET 模块。

恶意软件基础设施

ThreatLabz 确认加载的程序集为 Caminho，这是一款下载器恶意软件，于 2025 年 5 月首次出现在巴西网络犯罪市场。

下载完成后，该脚本会提取嵌入在两个特定标记之间的 Base64 编码有效载荷。

有证据表明，Caminho 是由讲葡萄牙语的开发者创建的，因为该恶意软件的主要方法包含葡萄牙语的参数名称，例如“caminho”（路径）和“extençao”（扩展名）。

BlindEagle 很早就采用了 Caminho，并利用它从 Discord 内容分发网络下载 DCRAT 有效载荷。

最终阶段的 DCRAT 恶意软件采用了进程空心化技术，启动合法的 MSBuild.exe 实用程序，并将恶意代码直接注入内存。

此AsyncRAT 变体具有 DCRAT 原始开源代码库中没有的 AES-256 加密配置和基于证书的命令与控制服务器身份验证功能。

ThreatLabz 发现全球有 24 个主机暴露了与 DCRAT 样本颁发者匹配的证书，其基础设施主要托管在 ASN 42708 (GleSYS AB) 下的瑞典 IP 地址上，而 GleSYS AB 是 BlindEagle 历来偏爱的托管提供商。

该组织还使用了来自 ydns.eu 的动态 DNS 服务，这与之前记录的操作模式一致。

研究人员根据基础设施偏好、哥伦比亚目标、法律主题诱饵、广泛使用 .NET 恶意软件、滥用合法服务（包括使用 Discord 托管有效载荷）以及有记录的隐写术技术，以中等置信度将此次攻击活动归因于 BlindEagle。

此次袭击凸显了 BlindEagle 对哥伦比亚政府实体的持续关注，并表明该组织采用了来自地下市场的复杂工具来增强其行动能力。

技术报告：

《BlindEagle 利用 Caminho 和 DCRAT 攻击哥伦比亚政府机构》

https://www.zscaler.com/blogs/security-research/blindeagle-targets-colombian-government-agency-caminho-and-dcrat

新闻链接：

Blind Eagle Hackers Target Government Agencies Using PowerShell Scripts

今日安全资讯速递

APT事件

Advanced Persistent Threat

BlindEagle（盲鹰）黑客组织利用 PowerShell 脚本攻击哥伦比亚政府机构

Blind Eagle Hackers Target Government Agencies Using PowerShell Scripts

Arcane Werewolf黑客组织在其武器库中新增了Loki 2.1恶意软件工具包

Arcane Werewolf Hacker Group Added Loki 2.1 Malware Toolkit to their Arsenal

SideWinder APT黑客组织伪装成印度税务部门攻击印度实体

SideWinder APT Hackers Attacking Indian Entities by Masquerading as the Income Tax Department of India

一般威胁事件

General Threat Incidents

MacSync macOS 恶意软件通过已签名的 Swift 应用程序分发

https://www.securityweek.com/macsync-macos-malware-distributed-via-signed-swift-application/

Nezha监控工具被滥用进行隐蔽的后渗透攻击

https://www.infosecurity-magazine.com/news/nezha-abused-post-exploitation/

Frogblight恶意安卓软件利用虚假法院和援助应用程序攻击土耳其用户

Frogblight Malware Targets Android Users With Fake Court and Aid Apps

npm 上的虚假 WhatsApp API 包可窃取消息、联系人和登录令牌

https://thehackernews.com/2025/12/fake-whatsapp-api-package-on-npm-steals.html

日产汽车证实，未经授权访问红帽服务器后发生数据泄露事件

Nissan Confirms Data Breach Following Unauthorized Access to Red Hat Servers

Android恶意软件行动大规模整合投放器、短信窃取和远程访问木马（RAT）

https://thehackernews.com/2025/12/android-malware-operations-merge.html

新型 Wonderland 安卓恶意软件具备双向短信窃取功能，可窃取一次性密码

New Wonderland Android Malware with Bidirectional SMS-Stealing Capabilities Stealing OTPs

一名乌克兰黑客承认在美国发动Nefilim勒索软件攻击

Ukrainian hacker pleads guilty to Nefilim Ransomware attacks in U.S.

罗马尼亚水务公司证实遭遇网络攻击，但关键供水作业未受影响

Romanian Waters confirms cyberattack, critical water operations unaffected

全球数据盗窃事件层出不穷，韩国将要求购买SIM卡时进行人脸识别

https://www.theregister.com/2025/12/22/south_korea_facial_verification/

漏洞事件

Vulnerability Incidents

125,000 个 IP 地址的 WatchGuard Firebox 设备暴露于互联网，易受零日远程代码执行攻击

125,000 IPs WatchGuard Firebox Devices Exposed to Internet Vulnerable to 0-day RCE Attacks

Exim 服务器存在多个漏洞，攻击者可利用这些漏洞控制服务器

Multiple Exim Server Vulnerabilities Let Attackers Seize Control of the Server

Linux 内核 POSIX CPU 定时器实现的释放后利用漏洞（CVE-2025-38352）的 PoC 发布

PoC Exploit Released for Use-After-Free Vulnerability in Linux Kernel POSIX CPU Timers

微软代理文件系统漏洞可导致本地权限提升

Microsoft Brokering File System Vulnerability Enables Local Privilege Escalation

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗《BlindEagle（盲鹰）黑客组织利用 PowerShell 脚本攻击哥伦比亚政府机构》