Το κακόβουλο λογισμικό Ande Loader εξαπλώνεται με χρήση phishing
Ο ηθοποιός απειλών Blind Eagle έχει παρατηρηθεί να χρησιμοποιεί ένα κακόβουλο λογισμικό φορτωτή που ονομάζεται Ande Loader για τη διανομή trojans απομακρυσμένης πρόσβασης (RAT) όπως το Remcos RAT και το NjRAT. Αυτές οι επιθέσεις, που ξεκίνησαν μέσω ηλεκτρονικών μηνυμάτων ηλεκτρονικού ψαρέματος, στόχευαν ειδικά σε άτομα που μιλούσαν ισπανικά στον κατασκευαστικό τομέα που βρίσκεται στη Βόρεια Αμερική, σύμφωνα με αναφορές του eSentire.
Ο Blind Eagle, γνωστός και ως APT-C-36, είναι ένας παράγοντας απειλών με οικονομικά κίνητρα με ιστορικό διεξαγωγής επιθέσεων στον κυβερνοχώρο εναντίον στόχων στην Κολομβία και τον Ισημερινό, παρέχοντας διάφορους RAT, όπως AsyncRAT, BitRAT, Lime RAT, NjRAT, Remcos RAT και Κβάζαρ RAT. Τα πρόσφατα ευρήματα υποδεικνύουν μια επέκταση στη στρατηγική στόχευσης του παράγοντα απειλής, χρησιμοποιώντας τακτικές phishing με αρχεία RAR και BZ2 για την έναρξη της διαδικασίας μόλυνσης.
Μέθοδος διείσδυσης Ande Loader
Τα αρχεία RAR, που προστατεύονται με κωδικούς πρόσβασης, περιέχουν ένα κακόβουλο αρχείο Visual Basic Script (VBScript) που είναι υπεύθυνο για τη δημιουργία εμμονής στον φάκελο εκκίνησης των Windows και την εκκίνηση του Ande Loader, το οποίο στη συνέχεια φορτώνει το ωφέλιμο φορτίο Remcos RAT. Εναλλακτικά, σε μια άλλη παρατηρούμενη μέθοδο επίθεσης, ένα αρχείο BZ2 που περιέχει ένα αρχείο VBScript διανέμεται μέσω μιας σύνδεσης δικτύου παράδοσης περιεχομένου Discord (CDN), με το Ande Loader να ρίχνει το NjRAT αντί για το Remcos RAT.
Το eSentire σημείωσε ότι το Blind Eagle χρησιμοποιεί κρυπτογράφηση που αναπτύχθηκαν από άτομα γνωστά ως Roda και Pjoao1578. Ένας από τους κρυπτογράφησης της Roda περιέχει έναν διακομιστή με σκληρό κώδικα που φιλοξενεί τόσο στοιχεία εγχυτήρα του κρυπτογράφησης όσο και πρόσθετο κακόβουλο λογισμικό που χρησιμοποιείται στην καμπάνια Blind Eagle.
Αυτές οι εξελίξεις συμπίπτουν με την αποκάλυψη από το SonicWall μιας άλλης οικογένειας κακόβουλου λογισμικού φόρτωσης που ονομάζεται DBatLoader, το οποίο εκμεταλλεύεται ένα νόμιμο αλλά ευάλωτο πρόγραμμα οδήγησης που σχετίζεται με το λογισμικό RogueKiller AntiMalware (truesight.sys) για να απενεργοποιήσει τις λύσεις ασφαλείας σε μια επίθεση Bring Your Own Vulnerable Driver (BYOVD, BYOVD,). παράδοση Remcos RAT.
