Ande 로더 악성코드
Blind Eagle로 식별된 사이버 위협 행위자는 Remcos RAT 및 NJ RAT와 같은 원격 액세스 트로이 목마(RAT)를 배포하기 위해 Ande Loader라는 로더 악성 코드를 사용하는 것이 관찰되었습니다 . 피싱 이메일을 통해 실행되는 이러한 공격은 특히 북미에 위치한 제조 부문에 종사하는 스페인어를 사용하는 개인을 표적으로 삼았습니다.
APT-C-36으로도 알려져 있는 Blind Eagle은 콜롬비아와 에콰도르의 조직을 대상으로 사이버 공격을 수행한 이력이 있는 재정적 기반의 위협 행위자입니다. 이들의 작업 방식에는 AsyncRAT , BitRAT , Lime RAT , NjRAT , Remcos RAT 및 Quasar RAT 를 포함한 다양한 RAT 배포가 포함됩니다.
Ande Loader 악성코드는 여러 감염 체인을 통해 전달됩니다
위협 행위자의 표적 범위 확장은 피싱이 포함된 RAR 및 BZ2 아카이브를 사용하여 감염 프로세스를 시작하는 Ande Loader 공격 작전에서 분명하게 드러납니다.
비밀번호로 보호되는 RAR 아카이브에는 Windows 시작 폴더에 지속성을 설정하는 악성 VBScript(Visual Basic Script) 파일이 포함되어 있습니다. 또한 이 파일은 Ande 로더의 실행을 트리거하여 이후에 Remcos RAT 페이로드를 로드합니다.
사이버 보안 연구원이 관찰한 대체 공격 시나리오에서는 VBScript 파일이 포함된 BZ2 아카이브가 CDN(Discord 콘텐츠 전송 네트워크) 링크를 통해 유포됩니다. 이 경우 Ande Loader 악성코드는 Remcos RAT 대신 NjRAT를 드롭합니다.
Blind Eagle 위협 행위자는 Roda와 Pjoao1578이 제작한 크립터를 활용해 왔습니다. 특히 Roda의 크립터 중 하나에는 크립터의 인젝터 구성 요소와 Blind Eagle 캠페인에 사용된 추가 악성 코드를 모두 호스팅하는 하드코딩된 서버가 있습니다.
RAT 감염은 치명적인 결과를 초래할 수 있습니다
RAT는 피해자의 컴퓨터나 네트워크에 대한 무단 액세스 및 제어를 제공하도록 설계된 위협적인 소프트웨어 프로그램입니다. 이러한 감염은 다음과 같은 여러 가지 이유로 피해자에게 치명적인 결과를 초래할 수 있습니다.
전반적으로 RAT 감염은 개인, 기업 및 기관에 심각한 위협을 가하며 금전적 손실, 평판 손상, 법적 책임 및 국가 안보 위험에 이르는 잠재적인 결과를 초래합니다. 이는 정기적인 소프트웨어 업데이트, 네트워크 모니터링, 사용자 교육, 고급 위협 탐지 및 완화 기술 배포를 포함한 강력한 사이버 보안 조치의 중요성을 강조합니다.