Malware Ande Loader

Hráč kybernetických hrozeb identifikovaný jako Blind Eagle byl pozorován, jak používá malware pro načítání jménem Ande Loader k distribuci trojských koní pro vzdálený přístup (RAT), jako jsou Remcos RAT a NJ RAT . Tyto útoky prováděné prostřednictvím phishingových e-mailů se konkrétně zaměřovaly na španělsky mluvící jednotlivce ve výrobním sektoru v Severní Americe.

Blind Eagle, také známý jako APT-C-36, je finančně motivovaný hrozba se záznamem o provádění kybernetických útoků proti organizacím v Kolumbii a Ekvádoru. Jejich modus operandi zahrnuje nasazení různých RAT, včetně AsyncRAT , BitRAT , Lime RAT , NjRAT , Remcos RAT a Quasar RAT .

Malware Ande Loader je dodáván prostřednictvím několika infekčních řetězců

Rozšíření oblasti zaměřování aktéra hrozby je evidentní v útočné operaci Ande Loader, která využívá phishingem nabité archivy RAR a BZ2 k zahájení procesu infekce.

Archivy RAR, chráněné hesly, obsahují škodlivý soubor Visual Basic Script (VBScript), který je odpovědný za navázání stálosti ve složce Po spuštění systému Windows. Tento soubor také spustí spuštění Ande Loader, který následně načte užitečné zatížení Remcos RAT.

V alternativním scénáři útoku pozorovaném výzkumníky v oblasti kybernetické bezpečnosti je archiv BZ2 obsahující soubor VBScript šířen prostřednictvím odkazu Discord content delivery network (CDN). V tomto případě malware Ande Loader upustí NjRAT místo Remcos RAT.

Herec hrozby Blind Eagle využívá šifrovací nástroje vytvořené Rodou a Pjoao1578. Je pozoruhodné, že jeden z rodových šifrovačů obsahuje napevno zakódovaný server hostující jak injektorové komponenty šifrovače, tak další malware použitý v kampani Blind Eagle.

Infekce potkanů mohou mít zničující následky

RAT jsou ohrožující softwarové programy určené k poskytování neoprávněného přístupu a kontroly nad počítačem nebo sítí oběti. Tyto infekce mohou mít pro oběti zničující následky z několika důvodů:

• Neoprávněný přístup : RAT poskytují útočníkům vzdálenou kontrolu nad infikovanými systémy, což jim umožňuje provádět příkazy, přistupovat k souborům, prohlížet obrazovku a dokonce ovládat periferní zařízení, jako jsou kamery a mikrofony. Tato úroveň přístupu může ohrozit citlivé informace, včetně osobních údajů, finančních záznamů, duševního vlastnictví a pověření.

• Krádež dat a špionáž : Díky přístupu do systému oběti mohou útočníci shromažďovat cenná data, jako jsou obchodní plány, proprietární algoritmy, databáze zákazníků nebo osobní informace. Tato shromážděná data mohou být zneužita k finančnímu zisku, průmyslové špionáži nebo krádeži identity.

• Manipulace se systémem : RAT umožňují útočníkům manipulovat se systémem oběti různými způsoby, včetně instalace dalšího malwaru, úpravy nebo mazání souborů, změny konfigurace systému nebo narušení důležitých služeb. Takové manipulace mohou vést k nestabilitě systému, poškození dat nebo ztrátě funkčnosti.

• Sledování a monitorování : RAT často obsahují funkce pro skryté sledování a monitorování, které útočníkům umožňují odposlouchávat konverzace, zachytit stisknuté klávesy, zaznamenávat aktivitu na obrazovce nebo přistupovat ke zdrojům webové kamery. Toto narušení soukromí může mít významný psychologický dopad na oběti a může být zvláště zničující v případech osobní nebo citlivé komunikace.

• Šíření a kompromitace sítě : Infekce RAT mohou sloužit jako vstupní body pro další infiltraci sítě a šíření malwaru v rámci infrastruktury organizace. Útočníci mohou využít kompromitované systémy jako opěrné body pro přesun do bezpečnějších segmentů sítě, eskalovat oprávnění a zahájit další útoky, které mohou způsobit rozsáhlé škody a narušení.

• Finanční ztráty a právní důsledky : Oběti infekcí RAT mohou utrpět finanční ztráty v důsledku krádeže, vydírání nebo podvodu spáchaného útočníky. Kromě toho mohou organizacím vzniknout značné náklady související s reakcí na incidenty, nápravou, právními poplatky, regulačními pokutami a poškozením pověsti a důvěry zákazníků.

Celkově infekce RAT představují vážnou hrozbu pro jednotlivce, podniky a instituce s potenciálními důsledky od finančních ztrát a poškození pověsti až po právní závazky a rizika národní bezpečnosti. Zdůrazňuje důležitost robustních opatření v oblasti kybernetické bezpečnosti, včetně pravidelných aktualizací softwaru, monitorování sítě, vzdělávání uživatelů a nasazení pokročilých technologií pro detekci a zmírnění hrozeb.