Зловмисне програмне забезпечення Ande Loader

Зловмисник кіберзагрози, ідентифікований як Blind Eagle, використовував зловмисне програмне забезпечення під назвою Ande Loader для розповсюдження троянів віддаленого доступу (RAT), таких як Remcos RAT і NJ RAT . Ці атаки, здійснені за допомогою фішингових електронних листів, були спрямовані спеціально на іспаномовних осіб у виробничому секторі Північної Америки.

Blind Eagle, також відомий як APT-C-36, є фінансово керованим загрозливим актором із послужним списком проведення кібератак на організації в Колумбії та Еквадорі. Їхній спосіб роботи передбачає розгортання різних RAT, зокрема AsyncRAT , BitRAT , Lime RAT , NjRAT , Remcos RAT і Quasar RAT .

Зловмисне програмне забезпечення Ande Loader доставляється через кілька ланцюгів зараження

Розширення сфери націлювання зловмисника проявляється в операції атаки Ande Loader, яка використовує завантажені фішингом архіви RAR і BZ2 для ініціювання процесу зараження.

Архіви RAR, захищені паролями, містять зловмисний файл Visual Basic Script (VBScript), відповідальний за збереження в папці запуску Windows. Цей файл також ініціює виконання Ande Loader, який згодом завантажує корисне навантаження Remcos RAT.

В альтернативному сценарії атаки, який спостерігали дослідники кібербезпеки, архів BZ2, що містить файл VBScript, поширюється через посилання мережі доставки вмісту Discord (CDN). У цьому випадку зловмисне програмне забезпечення Ande Loader видаляє NjRAT замість Remcos RAT.

Актор загрози Blind Eagle використовує шифрувальники, створені Родою та Pjoao1578. Примітно, що один із шифраторів Roda має жорстко закодований сервер, на якому розміщено як інжекторні компоненти шифрувальника, так і додаткове шкідливе програмне забезпечення, використане в кампанії Blind Eagle.

Інфекція щурів може мати руйнівні наслідки

RATs є загрозливими програмами, призначеними для надання несанкціонованого доступу та контролю над комп’ютером або мережею жертви. Ці інфекції можуть мати руйнівні наслідки для жертв через кілька причин:

• Неавторизований доступ : RAT надають зловмисникам віддалений контроль над зараженими системами, дозволяючи їм виконувати команди, отримувати доступ до файлів, переглядати екран і навіть керувати периферійними пристроями, такими як камери та мікрофони. Цей рівень доступу може скомпрометувати конфіденційну інформацію, зокрема особисті дані, фінансові записи, інтелектуальну власність та облікові дані.

• Крадіжка даних і шпигунство : маючи доступ до системи жертви, зловмисники можуть збирати такі цінні дані, як бізнес-плани, власні алгоритми, бази даних клієнтів або особисту інформацію. Ці зібрані дані можуть бути використані для фінансової вигоди, промислового шпигунства або крадіжки особистих даних.

• Маніпуляції системою : RAT дають змогу зловмисникам маніпулювати системою жертви різними способами, включаючи інсталяцію додаткових зловмисних програм, зміну або видалення файлів, зміну конфігурації системи або порушення роботи критичних служб. Такі маніпуляції можуть призвести до нестабільності системи, пошкодження даних або втрати функціональності.

• Спостереження та моніторинг : RAT часто включають функції для прихованого спостереження та моніторингу, що дозволяє зловмисникам підслуховувати розмови, записувати натискання клавіш, записувати дії на екрані або отримувати доступ до каналів веб-камери. Таке вторгнення в приватне життя може мати значні психологічні наслідки для жертв і може бути особливо руйнівним у випадках особистого чи делікатного спілкування.

• Розповсюдження та компрометація мережі : зараження RAT може служити точкою входу для подальшого проникнення в мережу та розповсюдження зловмисного програмного забезпечення в інфраструктурі організації. Зловмисники можуть використовувати скомпрометовані системи як точку опори для переходу до більш безпечних сегментів мережі, підвищення привілеїв і запуску додаткових атак, що потенційно може завдати широкомасштабної шкоди та збоїв.

• Фінансові збитки та правові наслідки : жертви зараження RAT можуть зазнати фінансових збитків через крадіжку, здирництво або шахрайство, вчинене зловмисниками. Крім того, організації можуть зазнати значних витрат, пов’язаних із реагуванням на інциденти, усуненням, судовими зборами, регулятивними штрафами та шкодою репутації та довірі клієнтів.

Загалом зараження RAT становить серйозну загрозу для окремих осіб, підприємств і установ із потенційними наслідками, починаючи від фінансових втрат і репутаційної шкоди до юридичних зобов’язань і ризиків для національної безпеки. Він підкреслює важливість надійних заходів кібербезпеки, включаючи регулярне оновлення програмного забезпечення, моніторинг мережі, навчання користувачів і розгортання передових технологій виявлення загроз і пом’якшення.