برنامج Ande Loader الضار
تمت ملاحظة ممثل التهديد السيبراني الذي تم تحديده باسم Blind Eagle وهو يستخدم برنامج تحميل ضار يسمى Ande Loader لتوزيع أحصنة طروادة للوصول عن بعد (RATs) مثل Remcos RAT وNJ RAT . تم تنفيذ هذه الهجمات من خلال رسائل البريد الإلكتروني التصيدية، واستهدفت على وجه التحديد الأفراد الناطقين باللغة الإسبانية في قطاع التصنيع الموجود في أمريكا الشمالية.
Blind Eagle، المعروف أيضًا باسم APT-C-36، هو جهة تهديد ذات دوافع مالية ولها سجل حافل في شن هجمات إلكترونية ضد منظمات في كولومبيا والإكوادور. تتضمن طريقة عملهم نشر RATs المختلفة، بما في ذلك AsyncRAT و BitRAT و Lime RAT و NjRAT وRemcos RAT و Quasar RAT .
يتم تسليم البرامج الضارة Ande Loader عبر عدة سلاسل إصابة
ويتجلى توسع نطاق استهداف جهة التهديد في عملية هجوم Ande Loader، التي تستخدم أرشيفات RAR وBZ2 المحملة بالتصيد لبدء عملية الإصابة.
تحتوي أرشيفات RAR، المحمية بكلمات مرور، على ملف Visual Basic Script (VBScript) ضار مسؤول عن إنشاء الثبات في مجلد بدء تشغيل Windows. يقوم هذا الملف أيضًا بتشغيل تنفيذ Ande Loader، الذي يقوم لاحقًا بتحميل حمولة Remcos RAT.
في سيناريو الهجوم البديل الذي لاحظه باحثو الأمن السيبراني، يتم نشر أرشيف BZ2 الذي يحتوي على ملف VBScript من خلال رابط شبكة توصيل محتوى Discord (CDN). في هذه الحالة، يقوم برنامج Ande Loader الضار بإسقاط NjRAT بدلاً من Remcos RAT.
يستخدم ممثل التهديد Blind Eagle أدوات التشفير التي صممها Roda وPjoao1578. ومن الجدير بالذكر أن أحد برامج التشفير الخاصة بـ Roda يتميز بخادم مشفر يستضيف كلاً من مكونات التشفير والبرامج الضارة الإضافية المستخدمة في حملة Blind Eagle.
يمكن أن يكون لعدوى الفئران عواقب وخيمة
تمثل RATs تهديدًا للبرامج المصممة لتوفير وصول غير مصرح به والتحكم في كمبيوتر الضحية أو شبكته. يمكن أن يكون لهذه العدوى عواقب وخيمة على الضحايا لعدة أسباب:
بشكل عام، تشكل عدوى RAT تهديدًا خطيرًا للأفراد والشركات والمؤسسات، مع عواقب محتملة تتراوح من الخسائر المالية والإضرار بالسمعة إلى المسؤوليات القانونية ومخاطر الأمن القومي. ويؤكد على أهمية تدابير الأمن السيبراني القوية، بما في ذلك التحديثات المنتظمة للبرامج، ومراقبة الشبكة، وتثقيف المستخدمين، ونشر التقنيات المتقدمة للكشف عن التهديدات والتخفيف من آثارها.