Ande Loader Malware
Actorul de amenințări cibernetice identificat ca Blind Eagle a fost observat utilizând un program malware de încărcare numit Ande Loader pentru a distribui troieni de acces la distanță (RAT), cum ar fi Remcos RAT și NJ RAT . Aceste atacuri, executate prin e-mailuri de phishing, au vizat în mod special persoane vorbitoare de spaniolă din sectorul de producție situat în America de Nord.
Blind Eagle, cunoscut și sub denumirea de APT-C-36, este un actor de amenințări determinat de financiar, cu o experiență de a conduce atacuri cibernetice împotriva organizațiilor din Columbia și Ecuador. Modul lor de operare implică desfășurarea diferitelor RAT-uri, inclusiv AsyncRAT , BitRAT , Lime RAT , NjRAT , Remcos RAT și Quasar RAT .
Programul malware Ande Loader este livrat prin mai multe lanțuri de infecție
Extinderea sferei de țintire a actorului amenințării este evidentă în operațiunea de atac Ande Loader, care utilizează arhive RAR și BZ2 încărcate de phishing pentru a iniția procesul de infecție.
Arhivele RAR, protejate cu parole, conțin un fișier rău intenționat Visual Basic Script (VBScript) responsabil pentru stabilirea persistenței în folderul Windows Startup. Acest fișier declanșează, de asemenea, execuția Ande Loader, care încarcă ulterior sarcina utilă Remcos RAT.
Într-un scenariu alternativ de atac observat de cercetătorii în domeniul securității cibernetice, o arhivă BZ2 care conține un fișier VBScript este diseminată printr-o rețea de livrare a conținutului (CDN) Discord. În acest caz, programul malware Ande Loader elimină NjRAT în loc de Remcos RAT.
Actorul de amenințări Blind Eagle a folosit criptare create de Roda și Pjoao1578. În special, unul dintre criptarele Roda are un server hardcoded care găzduiește atât componentele injectoare ale crypter-ului, cât și programe malware suplimentare utilizate în campania Blind Eagle.
Infecțiile cu RAT pot avea consecințe devastatoare
RAT-urile sunt programe software amenințătoare concepute pentru a oferi acces neautorizat și control asupra computerului sau rețelei victimei. Aceste infecții pot avea consecințe devastatoare pentru victime din mai multe motive:
În general, infecțiile RAT reprezintă o amenințare serioasă pentru indivizi, întreprinderi și instituții, cu consecințe potențiale variind de la pierderi financiare și daune reputației până la răspunderi legale și riscuri de securitate națională. Acesta subliniază importanța măsurilor solide de securitate cibernetică, inclusiv actualizări regulate de software, monitorizarea rețelei, educarea utilizatorilor și implementarea tehnologiilor avansate de detectare și atenuare a amenințărilor.