近日，瑞星威胁情报平台捕获一起针对哥伦比亚地区的APT攻击事件，通过与以往感染链的对比分析发现，此次事件的攻击者为BlindEagle组织。该组织将伪装成参加法外调解听证会通知的钓鱼邮件发送给受害者，以此诱导受害者点击邮件附件，从而下载远控后门程序，达到窃取隐私信息的目的。目前，瑞星ESM防病毒终端安全防护系统已可检测并查杀该类恶意程序，广大用户可使用以抵御风险。

　　图：瑞星ESM防病毒终端安全防护系统可查杀相应远控后门

　　瑞星安全专家介绍，BlindEagle（APT-C-36）是一个疑似来自南美洲的APT组织，主要攻击目标为哥伦比亚境内，以及南美一些地区。该组织自2018年以来一直活跃，攻击范围主要针对哥伦比亚政府机构、金融部门、石油工业和专业制造业等重要企业。

　　在此次攻击事件中，BlindEagle组织向目标用户发送一封通知参加法外调解听证会的钓鱼邮件，而该邮件的附件为一个加密的压缩包，一旦用户按照邮件提示输入了密码进行解压，便会从攻击者的远程服务器下载一个DLL文件，该DLL文件可以在受害者电脑里实现持久化，并隐藏自身。

　　图：伪装成法外调解听证会通知的钓鱼邮件

　　而后，第一个DLL文件会继续下载另一个DLL文件及AsyncRAT后门程序，第二个DLL则会把该后门注入到正常的系统程序中执行，以此对受害者主机进行键盘记录、回传文件、远程控制等恶意操作。

　　瑞星安全专家表示，虽然BlindEagle组织的主要攻击对象为哥伦比亚地区，但依然使用了最为常见的钓鱼邮件攻击方式，因此广大用户要保持警惕，引以为戒，做好以下防范措施：

　　1. 不打开可疑文件。

　　不打开未知来源的可疑的文件和邮件，防止社会工程学和钓鱼攻击。

　　2. 部署EDR、NDR产品。

　　利用威胁情报追溯威胁行为轨迹，进行威胁行为分析，定位威胁源和目的，追溯攻击的手段和路径，从源头解决网络威胁，最大范围内发现被攻击的节点，以便更快响应和处理。

　　3. 安装有效的杀毒软件，拦截查杀恶意文档和恶意程序。

　　杀毒软件可拦截恶意文档和恶意程序，如果用户不小心下载了恶意文件，杀毒软件可拦截查杀，阻止病毒运行，保护用户的终端安全。

　　4. 及时修补系统补丁和重要软件的补丁。

　　许多恶意软件经常使用已知的系统漏洞、软件漏洞来进行传播，及时安装补丁将有效减少漏洞攻击带来的影响。