黑客组织借 Proton66 主机进行钓鱼，针对哥伦比亚银行部署 RAT

网络安全公司Trustwave SpiderLabs近期报告证实，被称为Blind Eagle的威胁行为者高度疑似使用俄罗斯防弹主机服务Proton66。研究人员通过追踪与该服务关联的数字资产，发现一个活跃攻击集群：其利用VBS脚本作为初始攻击载体，部署现成的远程访问木马（RAT）。

攻击者青睐Proton66等防弹主机服务，因其故意无视滥用举报和法律取缔要求，使钓鱼网站、C2服务器和恶意软件分发系统得以持续运作。2024年8月起，研究人员发现一组命名模式相似的域名（如gfast.duckdns[.]org），均解析至Proton66关联IP（45.135.232[.]38）。此类攻击还依赖DuckDNS等动态DNS服务——攻击者通过轮换子域名关联同一IP，大幅增加防御方检测难度。

这些域名托管多种恶意内容，包括针对哥伦比亚银行（Bancolombia、BBVA等）的钓鱼页面，以及作为恶意软件初始阶段的VBS脚本。后者实为加载器，可下载加密可执行文件并部署AsyncRAT、Remcos RAT等商用木马。VBS脚本虽显陈旧，但因兼容性高、静默运行特性，仍被用于下载恶意加载器、绕过杀毒软件并混入正常用户活动，成为多阶段攻击的首选入口点。

技术分析显示，VBS代码与付费加密服务Crypters and Tools的Vbs-Crypter工具存在重叠，该服务专门混淆VBS载荷以规避检测。此外，Trustwave还发现一个僵尸网络控制面板，支持操控受感染设备、窃取数据并通过RAT管理套件交互受控终端。

此发现与Darktrace披露的Blind Eagle活动形成印证：自2024年11月起，该组织持续利用已修复的Windows漏洞（CVE-2024-43451）攻击哥伦比亚机构，下载后续攻击载荷。Check Point在2025年3月首次记录此行为，凸显其战术适应能力——即使补丁发布后，仍能快速调整既定战术（TTPs）。Darktrace强调：“及时漏洞管理和补丁应用虽必要，但不足以独立应对此类威胁。”

消息来源： thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；