Az Ande Loader malware adathalászattal terjed
Megfigyelték, hogy a Blind Eagle fenyegetőző egy Ande Loader nevű rosszindulatú betöltőt használt a távoli hozzáférésű trójaiak (RAT) terjesztésére, mint például a Remcos RAT és az NjRAT. Az eSentire jelentései szerint ezek az adathalász e-maileken keresztül indított támadások kifejezetten az észak-amerikai gyártási szektor spanyolul beszélő egyének ellen irányultak.
A Blind Eagle, más néven APT-C-36, egy pénzügyileg motivált fenyegetésekkel foglalkozó szereplő, akinek tapasztalata van a kolumbiai és ecuadori célpontok elleni kibertámadások végrehajtásában, és különféle RAT-okat szállít, köztük AsyncRAT, BitRAT, Lime RAT, NjRAT, Remcos RAT és Quasar RAT. A közelmúltbeli felfedezések a fenyegetés szereplői célzási stratégiájának bővülését jelzik, adathalász taktikát alkalmazva RAR és BZ2 archívumokkal a fertőzési folyamat elindításához.
Ande Loader beszivárgási módszer
A jelszavakkal védett RAR-archívumok egy rosszindulatú Visual Basic Script (VBScript) fájlt tartalmaznak, amely a Windows Startup mappájában való megmaradásért és az Ande Loader elindításáért felelős, amely ezután betölti a Remcos RAT rakományt. Alternatív megoldásként egy másik megfigyelt támadási módszerben egy VBScript-fájlt tartalmazó BZ2-archívum egy Discord tartalomszolgáltató hálózaton (CDN) keresztül kerül terjesztésre, az Ande Loader pedig az NjRAT-ot dobja el a Remcos RAT helyett.
Az eSentire megjegyezte, hogy a Blind Eagle a Roda és Pjoao1578 néven ismert személyek által kifejlesztett titkosítókat használt. A Roda egyik titkosítója egy keménykódolt szervert tartalmaz, amely a titkosító befecskendező összetevőit és a Blind Eagle kampányban használt további kártevőket is tartalmazza.
Ezek a fejlemények egybeesnek azzal, hogy a SonicWall nyilvánosságra hozta a DBatLoader nevű másik betöltő rosszindulatú programcsaládot, amely a RogueKiller AntiMalware szoftverhez (truesight.sys) társított legitim, de sebezhető illesztőprogramot használ ki, hogy letiltja a biztonsági megoldásokat egy Bring Your Own Vulnerable Driver (BYOVD) támadás során. Remcos RAT szállítása.