Ande Loader-malware
Er is waargenomen dat de cyberbedreigingsacteur, geïdentificeerd als Blind Eagle, een loader-malware genaamd Ande Loader gebruikt om Remote Access Trojans (RAT's) zoals de Remcos RAT en NJ RAT te verspreiden . Deze aanvallen, uitgevoerd via phishing-e-mails, waren specifiek gericht op Spaanstalige personen in de productiesector in Noord-Amerika.
Blind Eagle, ook bekend als APT-C-36, is een financieel gedreven dreigingsacteur met een trackrecord in het uitvoeren van cyberaanvallen tegen organisaties in Colombia en Ecuador. Hun modus operandi omvat het inzetten van verschillende RAT's, waaronder AsyncRAT , BitRAT , de Lime RAT , NjRAT , de Remcos RAT en de Quasar RAT .
De Ande Loader-malware wordt verspreid via verschillende infectieketens
De uitbreiding van het doelbereik van de dreigingsactor blijkt duidelijk uit de aanvalsoperatie Ande Loader, waarbij gebruik wordt gemaakt van met phishing beladen RAR- en BZ2-archieven om het infectieproces te initiëren.
De RAR-archieven, beveiligd met wachtwoorden, bevatten een kwaadaardig Visual Basic Script (VBScript)-bestand dat verantwoordelijk is voor het tot stand brengen van persistentie in de Windows Opstartmap. Dit bestand activeert ook de uitvoering van de Ande Loader, die vervolgens de Remcos RAT-payload laadt.
In een alternatief aanvalsscenario dat door cybersecurity-onderzoekers is waargenomen, wordt een BZ2-archief met daarin een VBScript-bestand verspreid via een Discord Content Delivery Network (CDN)-link. In dit geval laat de Ande Loader-malware NjRAT vallen in plaats van de Remcos RAT.
De Blind Eagle-bedreigingsacteur heeft crypters gebruikt die zijn gemaakt door Roda en Pjoao1578. Eén van Roda's crypters beschikt met name over een hardgecodeerde server die zowel injectorcomponenten van de crypter host als aanvullende malware die wordt gebruikt in de Blind Eagle-campagne.
RAT-infecties kunnen verwoestende gevolgen hebben
RAT's zijn bedreigende softwareprogramma's die zijn ontworpen om ongeoorloofde toegang tot en controle over de computer of het netwerk van een slachtoffer te verschaffen. Deze infecties kunnen om verschillende redenen verwoestende gevolgen hebben voor slachtoffers:
Over het geheel genomen vormen RAT-infecties een ernstige bedreiging voor individuen, bedrijven en instellingen, met potentiële gevolgen variërend van financiële verliezen en reputatieschade tot wettelijke aansprakelijkheid en risico's voor de nationale veiligheid. Het onderstreept het belang van robuuste cyberbeveiligingsmaatregelen, waaronder regelmatige software-updates, netwerkmonitoring, gebruikerseducatie en de inzet van geavanceerde technologieën voor het detecteren en beperken van bedreigingen.