Złośliwe oprogramowanie Ande Loader

Zaobserwowano, że ugrupowanie cyberprzestępcze zidentyfikowane jako Blind Eagle wykorzystuje szkodliwe oprogramowanie ładujące o nazwie Ande Loader do dystrybucji trojanów dostępu zdalnego (RAT), takich jak Remcos RAT i NJ RAT . Ataki te, przeprowadzane za pośrednictwem wiadomości e-mail typu phishing, były w szczególności wymierzone w hiszpańskojęzyczne osoby z sektora produkcyjnego zlokalizowanego w Ameryce Północnej.

Blind Eagle, znany również jako APT-C-36, to ugrupowanie cyberprzestępcze motywowane finansowo, mające doświadczenie w przeprowadzaniu cyberataków na organizacje w Kolumbii i Ekwadorze. Ich sposób działania obejmuje wdrażanie różnych RAT, w tym AsyncRAT , BitRAT , Lime RAT , NjRAT , Remcos RAT i Quasar RAT .

Złośliwe oprogramowanie Ande Loader jest dostarczane poprzez kilka łańcuchów infekcji

Rozszerzenie zakresu ataków ugrupowania zagrażającego jest widoczne w operacji ataku Ande Loader, która do zainicjowania procesu infekcji wykorzystuje obciążone phishingiem archiwa RAR i BZ2.

Archiwa RAR, chronione hasłami, zawierają złośliwy plik Visual Basic Script (VBScript) odpowiedzialny za ustanowienie trwałości w folderze Autostart systemu Windows. Plik ten uruchamia również wykonanie programu Ande Loader, który następnie ładuje ładunek Remcos RAT.

W alternatywnym scenariuszu ataku zaobserwowanym przez badaczy cyberbezpieczeństwa archiwum BZ2 zawierające plik VBScript jest rozpowszechniane za pośrednictwem łącza sieci dostarczania treści Discord (CDN). W tym przypadku złośliwe oprogramowanie Ande Loader porzuca NjRAT zamiast Remcos RAT.

Ugrupowanie zagrażające Blind Eagle korzysta z programów szyfrujących stworzonych przez Rodę i Pjoao1578. Warto zauważyć, że jeden z programów szyfrujących Rody posiada zakodowany na stałe serwer, na którym znajdują się zarówno komponenty wtryskiwaczy narzędzia szyfrującego, jak i dodatkowe złośliwe oprogramowanie wykorzystywane w kampanii Blind Eagle.

Infekcje szczurami mogą mieć druzgocące konsekwencje

RAT stanowią zagrożenie dla programów zaprojektowanych w celu zapewnienia nieautoryzowanego dostępu i kontroli nad komputerem lub siecią ofiary. Infekcje te mogą mieć druzgocące konsekwencje dla ofiar z kilku powodów:

• Nieautoryzowany dostęp : RAT zapewniają atakującym zdalną kontrolę nad zainfekowanymi systemami, umożliwiając im wykonywanie poleceń, dostęp do plików, przeglądanie ekranu, a nawet kontrolowanie urządzeń peryferyjnych, takich jak kamery i mikrofony. Ten poziom dostępu może narazić na szwank wrażliwe informacje, w tym dane osobowe, dokumentację finansową, własność intelektualną i dane uwierzytelniające.

• Kradzież danych i szpiegostwo : mając dostęp do systemu ofiary, napastnicy mogą zebrać cenne dane, takie jak plany biznesowe, zastrzeżone algorytmy, bazy danych klientów lub dane osobowe. Zebrane dane można wykorzystać do celów finansowych, szpiegostwa przemysłowego lub kradzieży tożsamości.

• Manipulacja systemem : RAT umożliwiają atakującym manipulowanie systemem ofiary na różne sposoby, w tym instalowanie dodatkowego złośliwego oprogramowania, modyfikowanie lub usuwanie plików, zmianę konfiguracji systemu lub zakłócanie krytycznych usług. Takie manipulacje mogą prowadzić do niestabilności systemu, uszkodzenia danych lub utraty funkcjonalności.

• Nadzór i monitorowanie : RAT często zawierają funkcje tajnego nadzoru i monitorowania, umożliwiające atakującym podsłuchiwanie rozmów, przechwytywanie naciśnięć klawiszy, nagrywanie aktywności na ekranie lub uzyskiwanie dostępu do kanałów kamery internetowej. To naruszenie prywatności może mieć znaczący wpływ psychologiczny na ofiary i może być szczególnie niszczycielskie w przypadku komunikacji osobistej lub wrażliwej.

• Propagacja i zagrożenia sieciowe : Infekcje RAT mogą służyć jako punkty wejścia dla dalszej infiltracji sieci i rozprzestrzeniania się złośliwego oprogramowania w infrastrukturze organizacji. Osoby atakujące mogą wykorzystać zainfekowane systemy jako przystanki, aby przejść do bezpieczniejszych segmentów sieci, eskalować uprawnienia i przeprowadzać dodatkowe ataki, potencjalnie powodując rozległe szkody i zakłócenia.

• Straty finansowe i konsekwencje prawne : Ofiary infekcji RAT mogą ponieść straty finansowe w wyniku kradzieży, wymuszenia lub oszustwa popełnionego przez atakujących. Ponadto organizacje mogą ponieść znaczne koszty związane z reakcją na incydenty, środkami zaradczymi, opłatami prawnymi, karami regulacyjnymi oraz utratą reputacji i zaufania klientów.

Ogólnie rzecz biorąc, infekcje RAT stanowią poważne zagrożenie dla osób fizycznych, przedsiębiorstw i instytucji, z potencjalnymi konsekwencjami, począwszy od strat finansowych i utraty reputacji, po odpowiedzialność prawną i ryzyko dla bezpieczeństwa narodowego. Podkreśla znaczenie solidnych środków cyberbezpieczeństwa, w tym regularnych aktualizacji oprogramowania, monitorowania sieci, edukacji użytkowników i wdrażania zaawansowanych technologii wykrywania i łagodzenia zagrożeń.