Ande Loader Malware spredes ved hjælp af phishing

Trusselsaktøren Blind Eagle er blevet observeret i at bruge en loader-malware ved navn Ande Loader til at distribuere fjernadgangstrojanske heste (RAT'er) såsom Remcos RAT og NjRAT. Disse angreb, initieret gennem phishing-e-mails, var specifikt rettet mod spansktalende personer inden for fremstillingssektoren i Nordamerika, ifølge rapporter fra eSentire.

Blind Eagle, også kendt som APT-C-36, er en økonomisk motiveret trusselsaktør med en track record i at udføre cyberangreb mod mål i Colombia og Ecuador, der leverer forskellige RAT'er, herunder AsyncRAT, BitRAT, Lime RAT, NjRAT, Remcos RAT og Quasar RAT. De seneste resultater indikerer en udvidelse af trusselsaktørens målretningsstrategi, ved at bruge phishing-taktik med RAR- og BZ2-arkiver til at starte infektionsprocessen.

Ande Loader metode til infiltration

RAR-arkiverne, beskyttet af adgangskoder, indeholder en ondsindet Visual Basic Script-fil (VBScript), der er ansvarlig for at etablere persistens i Windows Startup-mappen og starte Ande Loader, som derefter indlæser Remcos RAT-nyttelasten. Alternativt, i en anden observeret angrebsmetode, distribueres et BZ2-arkiv, der indeholder en VBScript-fil, gennem et Discord-indholdsleveringsnetværk (CDN), hvor Ande Loader dropper NjRAT i stedet for Remcos RAT.

eSentire bemærkede, at Blind Eagle har brugt cryptere udviklet af personer kendt som Roda og Pjoao1578. En af Rodas krypteringer indeholder en hårdkodet server, der hoster både injektorkomponenter af krypteringsmaskinen og yderligere malware, der bruges i Blind Eagle-kampagnen.

Disse udviklinger falder sammen med SonicWalls afsløring af en anden loader malware-familie kaldet DBatLoader, som udnytter en legitim, men sårbar driver forbundet med RogueKiller AntiMalware-software (truesight.sys) for i sidste ende at deaktivere sikkerhedsløsninger i et Bring Your Own Vulnerable Driver (BYOVD)-angreb. leverer Remcos RAT.