サイバーセキュリティ企業Trustwave SpiderLabsは2025年6月27日、南米を標的とするサイバー犯罪グループBlind Eagle(別名APT-C-36、APT-Q-98、AguilaCiega)がロシアのブレットプルーフホスティングサービスProton66を利用していることを高い信頼度で特定したと発表した。
同グループは2024年8月からgfast.duckdns.org、njfast.duckdns.orgなど類似命名パターンのドメインを使用し、すべて同一IPアドレス45.135.232.38に解決される。攻撃対象はBancolombia、BBVA、Banco Caja Social、Daviviendaなどコロンビアの銀行および金融機関である。
攻撃手法はVisual Basic Script(VBS)ファイルを初期攻撃ベクターとし、AsyncRATやRemcos RATなどの市販リモートアクセストロイの木馬を展開する。2024年12月19日のキャンペーンでは1600人以上が感染し、別のParasioキャンペーンでは1週間で約9000件の感染が発生した。
Blind Eagleは2024年11月からWindowsの脆弱性CVE-2024-43451を悪用し、Microsoftがパッチを公開してから6日後に攻撃手法に組み込んだ。
From: 
Blind Eagle Uses Proton66 Hosting for Phishing, RAT Deployment on Colombian Banks
【編集部解説】
今回のBlind Eagleによるサイバー攻撃事案は、現代のサイバー犯罪における複数の重要な技術的トレンドが集約された事例として注目に値します。
まず技術的な側面から見ると、Visual Basic Script(VBS)という一見時代遅れに思える技術が、なぜ現在でも攻撃者に重宝されているかが明確になります。VBSはWindowsに標準搭載されており、アンチウイルスソフトの検知を回避しやすく、バックグラウンドで静かに動作する特性があるためです。これは「古い技術=無害」という認識の危険性を示しています。
ブレットプルーフホスティングサービスの存在も重要なポイントです。Proton66のようなサービスは、意図的に法的な削除要求や悪用報告を無視することで、攻撃者に安定したインフラを提供しています。これらのサービスは主にロシアや東欧諸国に拠点を置き、法的な追及を困難にしています。
攻撃の地理的な集中も注目すべき点です。Blind Eagleがコロンビアやエクアドルなど南米の金融機関を集中的に狙う背景には、これらの地域のサイバーセキュリティ対策の成熟度や、攻撃者の地理的・言語的な親和性が関係していると考えられます。
この事案が示す最も深刻な影響は、パッチ適用の速度と攻撃者の適応力の競争です。CVE-2024-43451の脆弱性について、Microsoftがパッチを公開してからわずか6日後にBlind Eagleが攻撃に組み込んだという事実は、従来の「パッチを当てれば安全」という防御戦略の限界を露呈しています。
金融機関への影響範囲も深刻です。AsyncRATやRemcos RATといった市販のリモートアクセスツールを使用することで、攻撃者は感染したシステムを完全に制御し、顧客の認証情報や機密データを窃取できます。実際に2024年12月19日のキャンペーンでは1600人以上が感染し、別のParasioキャンペーンでは1週間で約9000件の感染が記録されており、その影響の大きさが数値で示されています。
長期的な視点では、この事案は国際的なサイバー犯罪対策の協調体制の必要性を浮き彫りにしています。ブレットプルーフホスティングサービスが国境を越えて運営される現状では、単一国家の法執行機関だけでは対処が困難です。
また、企業のセキュリティ戦略においても、従来の境界防御から行動分析ベースの検知へのシフトが急務であることを示しています。攻撃者が正規のツールや古い技術を巧妙に組み合わせる現状では、シグネチャベースの検知だけでは不十分だからです。
【用語解説】
Blind Eagle(ブラインドイーグル)
南米、特にコロンビアとエクアドルを標的とするサイバー犯罪グループ。APT-C-36、APT-Q-98、AguilaCiegaの別名でも知られる。2018年から活動し、金融機関への攻撃を専門とし、フィッシングサイトとマルウェアを組み合わせた攻撃手法を用いる。
ブレットプルーフホスティング
法的な削除要求や悪用報告を意図的に無視するホスティングサービス。サイバー犯罪者がフィッシングサイトやマルウェア配信サーバーを安定して運用できる環境を提供する。主にロシアや東欧諸国に拠点を置く。
Visual Basic Script(VBS)
Microsoftが開発したスクリプト言語。Windowsに標準搭載されており、バックグラウンドで静かに実行される特性を持つ。アンチウイルスソフトの検知を回避しやすいため、攻撃者の初期侵入手段として頻繁に使用される。
リモートアクセストロイの木馬(RAT)
感染したコンピューターを遠隔操作するマルウェア。キーロガー、スクリーンショット撮影、ファイルのアップロード・ダウンロード機能を持つ。AsyncRATやRemcos RATなどの市販品が犯罪者に広く利用されている。
動的DNSサービス
IPアドレスが頻繁に変更される環境で、固定のドメイン名を提供するサービス。DuckDNSが代表例。攻撃者は新しいドメインを登録する代わりに、サブドメインをローテーションして検知を困難にする。
CVE-2024-43451
Microsoftが2024年11月12日に修正したWindowsの脆弱性。NTLMv2パスワードハッシュの開示を可能にする。Blind Eagleがパッチ公開後わずか6日で攻撃に組み込んだことで、攻撃者の適応力の高さを示した事例として注目された。
HeartCrypt
Packer-as-a-Service(PaaS)として提供される暗号化サービス。マルウェアを難読化し、アンチウイルス検知を回避するために使用される。Blind Eagleが最近の攻撃で採用している。
【参考リンク】
Trustwave SpiderLabs(外部)
年間20万時間のペネトレーションテストを実施するサイバーセキュリティ企業の精鋭チーム
Check Point Research(外部)
イスラエルのサイバーセキュリティ企業の研究部門で世界的な脅威インテリジェンスを提供
Darktrace(外部)
AI技術を活用したリアルタイム脅威検知と対応を行うサイバーセキュリティ企業
【参考記事】
Proton66 Part 1: Mass Scanning and Exploit Campaigns – Trustwave
Trustwave SpiderLabsによるProton66の詳細分析。同ホスティングサービスが関与する大規模スキャンと脆弱性攻撃キャンペーンの実態を解明し、SuperBlackランサムウェア運営者との関連性を明らかにした。
Where to Find Aspiring Hackers – DomainTools Investigations
DomainToolsによるProton66の調査報告。同サービスが初心者サイバー犯罪者の温床となっている実態を分析し、Coquetteという脅威アクターの活動を詳細に追跡した研究である。
【編集部後記】
今回のBlind Eagleの事案を見て、皆さんはどのように感じられたでしょうか。古いVBSという技術が現在でも脅威となっている現実に、私たちも驚きを隠せません。
特に印象的だったのは、Microsoftがパッチを公開してからわずか6日で攻撃手法に組み込まれたという事実です。もしかすると、皆さんの組織でも「パッチを当てれば安全」と思い込んでいる部分があるかもしれませんね。
皆さんの職場や身の回りで、このような攻撃者の適応力に対抗するための多層防御の必要性を感じる場面はありますか?サイバーセキュリティの最前線で起きている変化について、ぜひ一緒に考えていければと思います。
