มัลแวร์ Ande Loader
ผู้ก่อภัยคุกคามทางไซเบอร์ที่ถูกระบุว่าเป็น Blind Eagle ถูกพบว่าใช้มัลแวร์โหลดเดอร์ชื่อ Ande Loader เพื่อกระจาย Remote Access Trojans (RAT) เช่น Remcos RAT และ NJ RAT การโจมตีเหล่านี้ดำเนินการผ่านอีเมลฟิชชิ่ง โดยกำหนดเป้าหมายเฉพาะบุคคลที่พูดภาษาสเปนในภาคการผลิตที่ตั้งอยู่ในอเมริกาเหนือ
Blind Eagle หรือที่รู้จักในชื่อ APT-C-36 เป็นตัวแสดงภัยคุกคามที่ขับเคลื่อนทางการเงิน โดยมีประวัติในการโจมตีทางไซเบอร์ต่อองค์กรต่างๆ ในโคลอมเบียและเอกวาดอร์ วิธีการดำเนินการของพวกเขาเกี่ยวข้องกับการปรับใช้ RAT ต่างๆ รวมถึง AsyncRAT , BitRAT , Lime RAT , NjRAT , Remcos RAT และ Quasar RAT
มัลแวร์ Ande Loader ถูกส่งผ่านเครือข่ายการติดไวรัสหลายเครือข่าย
การขยายขอบเขตการกำหนดเป้าหมายของผู้คุกคามนั้นเห็นได้ชัดในการดำเนินการโจมตี Ande Loader ซึ่งใช้ไฟล์เก็บถาวร RAR และ BZ2 ที่เต็มไปด้วยฟิชชิ่งเพื่อเริ่มกระบวนการติดไวรัส
ไฟล์เก็บถาวร RAR ที่ป้องกันด้วยรหัสผ่านมีไฟล์ Visual Basic Script (VBScript) ที่เป็นอันตรายซึ่งรับผิดชอบในการสร้างการคงอยู่ในโฟลเดอร์ Windows Startup ไฟล์นี้ยังทริกเกอร์การทำงานของ Ande Loader ซึ่งจะโหลดเพย์โหลด Remcos RAT ในภายหลัง
ในสถานการณ์การโจมตีทางเลือกอื่นที่นักวิจัยด้านความปลอดภัยทางไซเบอร์ตรวจพบ ไฟล์เก็บถาวร BZ2 ที่มีไฟล์ VBScript จะถูกเผยแพร่ผ่านลิงก์ Discord content Delivery Network (CDN) ในกรณีนี้ มัลแวร์ Ande Loader จะปล่อย NjRAT แทนที่จะเป็น Remcos RAT
ผู้คุกคาม Blind Eagle ได้ใช้การเข้ารหัสที่สร้างขึ้นโดย Roda และ Pjoao1578 โดยเฉพาะอย่างยิ่ง หนึ่งในผู้เข้ารหัสของ Roda มีเซิร์ฟเวอร์ฮาร์ดโค้ดที่โฮสต์ทั้งส่วนประกอบหัวฉีดของเข้ารหัสและมัลแวร์เพิ่มเติมที่ใช้ในแคมเปญ Blind Eagle
การติดเชื้อของ RAT อาจส่งผลร้ายแรง
RAT กำลังคุกคามโปรแกรมซอฟต์แวร์ที่ออกแบบมาเพื่อให้มีการเข้าถึงและควบคุมคอมพิวเตอร์หรือเครือข่ายของเหยื่อโดยไม่ได้รับอนุญาต การติดเชื้อเหล่านี้อาจส่งผลร้ายแรงต่อผู้ที่ตกเป็นเหยื่อเนื่องจากสาเหตุหลายประการ:
โดยรวมแล้ว การติดเชื้อ RAT ก่อให้เกิดภัยคุกคามร้ายแรงต่อบุคคล ธุรกิจ และสถาบัน โดยมีผลกระทบที่อาจเกิดขึ้นตั้งแต่ความสูญเสียทางการเงินและความเสียหายต่อชื่อเสียงต่อความรับผิดทางกฎหมายและความเสี่ยงด้านความมั่นคงของชาติ โดยเน้นย้ำถึงความสำคัญของมาตรการรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่ง รวมถึงการอัพเดตซอฟต์แวร์เป็นประจำ การตรวจสอบเครือข่าย การให้ความรู้แก่ผู้ใช้ และการปรับใช้เทคโนโลยีการตรวจจับและบรรเทาภัยคุกคามขั้นสูง