Κακόβουλο λογισμικό Ande Loader
Ο παράγοντας απειλής στον κυβερνοχώρο που προσδιορίζεται ως Blind Eagle έχει παρατηρηθεί να χρησιμοποιεί ένα κακόβουλο λογισμικό φορτωτή που ονομάζεται Ande Loader για τη διανομή Trojan Remote Access (RAT) όπως το Remcos RAT και το NJ RAT . Αυτές οι επιθέσεις, που πραγματοποιήθηκαν μέσω ηλεκτρονικού ταχυδρομείου ηλεκτρονικού "ψαρέματος" (phishing), στόχευαν ειδικά ισπανόφωνα άτομα στον κατασκευαστικό τομέα που βρίσκονται στη Βόρεια Αμερική.
Ο Blind Eagle, επίσης γνωστός ως APT-C-36, είναι ένας παράγοντας απειλών με χρηματοοικονομικό γνώμονα με ιστορικό επιθέσεων στον κυβερνοχώρο κατά οργανώσεων στην Κολομβία και τον Ισημερινό. Ο τρόπος λειτουργίας τους περιλαμβάνει την ανάπτυξη διαφόρων RAT, συμπεριλαμβανομένων των AsyncRAT , BitRAT , του Lime RAT , NjRAT , του Remcos RAT και του Quasar RAT .
Το κακόβουλο λογισμικό Ande Loader παραδίδεται μέσω αρκετών αλυσίδων μόλυνσης
Η επέκταση του εύρους στόχευσης του παράγοντα απειλής είναι εμφανής στην επιχείρηση επίθεσης Ande Loader, η οποία χρησιμοποιεί αρχεία RAR και BZ2 φορτωμένα με ηλεκτρονικό ψάρεμα για να ξεκινήσει η διαδικασία μόλυνσης.
Τα αρχεία RAR, που προστατεύονται με κωδικούς πρόσβασης, περιέχουν ένα κακόβουλο αρχείο Visual Basic Script (VBScript) που είναι υπεύθυνο για τη δημιουργία εμμονής στον φάκελο εκκίνησης των Windows. Αυτό το αρχείο ενεργοποιεί επίσης την εκτέλεση του Ande Loader, ο οποίος στη συνέχεια φορτώνει το ωφέλιμο φορτίο Remcos RAT.
Σε ένα εναλλακτικό σενάριο επίθεσης που παρατηρήθηκε από ερευνητές κυβερνοασφάλειας, ένα αρχείο BZ2 που φιλοξενεί ένα αρχείο VBScript διαδίδεται μέσω ενός συνδέσμου δικτύου παράδοσης περιεχομένου Discord (CDN). Σε αυτήν την περίπτωση, το κακόβουλο λογισμικό Ande Loader απορρίπτει το NjRAT αντί για το Remcos RAT.
Ο ηθοποιός των απειλών του Blind Eagle χρησιμοποιεί κρυπτογράφους κατασκευασμένους από τους Roda και Pjoao1578. Σημειωτέον, ένας από τους κρυπτογράφησης της Roda διαθέτει έναν διακομιστή με σκληρό κώδικα που φιλοξενεί τόσο στοιχεία εγχυτήρα του κρυπτογράφησης όσο και πρόσθετο κακόβουλο λογισμικό που χρησιμοποιείται στην καμπάνια Blind Eagle.
Οι λοιμώξεις από αρουραίους μπορεί να έχουν καταστροφικές συνέπειες
Οι RAT είναι απειλητικά προγράμματα λογισμικού που έχουν σχεδιαστεί για να παρέχουν μη εξουσιοδοτημένη πρόσβαση και έλεγχο στον υπολογιστή ή το δίκτυο του θύματος. Αυτές οι λοιμώξεις μπορεί να έχουν καταστροφικές συνέπειες για τα θύματα για διάφορους λόγους:
Συνολικά, οι λοιμώξεις από RAT αποτελούν σοβαρή απειλή για άτομα, επιχειρήσεις και ιδρύματα, με πιθανές συνέπειες που κυμαίνονται από οικονομικές απώλειες και ζημιά στη φήμη έως νομικές υποχρεώσεις και κινδύνους εθνικής ασφάλειας. Υπογραμμίζει τη σημασία των ισχυρών μέτρων κυβερνοασφάλειας, συμπεριλαμβανομένων των τακτικών ενημερώσεων λογισμικού, της παρακολούθησης δικτύου, της εκπαίδευσης των χρηστών και της ανάπτυξης προηγμένων τεχνολογιών ανίχνευσης και μετριασμού απειλών.