Ande Loader マルウェアがフィッシングを利用して拡散
脅威アクターの Blind Eagle は、Ande Loader という名前のローダー マルウェアを使用して、Remcos RAT や NjRAT などのリモート アクセス トロイの木馬 (RAT) を配布していることが観察されています。 eSentire のレポートによると、これらの攻撃はフィッシングメールを通じて開始され、特に北米にある製造部門内のスペイン語を話す個人を狙っていました。
Blind Eagle は APT-C-36 としても知られ、コロンビアとエクアドルをターゲットにサイバー攻撃を行った実績を持つ金銭目的の攻撃者であり、AsyncRAT、BitRAT、Lime RAT、NjRAT、Remcos RAT などのさまざまな RAT を提供します。クエーサー RAT。最近の調査結果は、RAR および BZ2 アーカイブを使用したフィッシング戦術を利用して感染プロセスを開始する、攻撃者の標的戦略の拡大を示しています。
Ande ローダーの浸透方法
パスワードで保護された RAR アーカイブには、Windows スタートアップ フォルダー内で永続性を確立し、Remcos RAT ペイロードをロードする Ande Loader を開始する悪意のある Visual Basic Script (VBScript) ファイルが含まれています。あるいは、観察された別の攻撃方法では、VBScript ファイルを含む BZ2 アーカイブが Discord コンテンツ配信ネットワーク (CDN) リンクを通じて配布され、Ande Loader が Remcos RAT ではなく NjRAT をドロップします。
eSentire は、Blind Eagle が Roda と Pjoao1578 として知られる個人によって開発されたクリプタを利用していると指摘しました。 Roda のクリプターの 1 つには、クリプターのインジェクター コンポーネントと、Blind Eagle キャンペーンで使用される追加のマルウェアの両方をホストするハードコーディングされたサーバーが含まれています。
これらの開発は、SonicWall が DBatLoader と呼ばれる別のローダー マルウェア ファミリを公開したのと一致しています。DBatLoader は、RogueKiller AntiMalware ソフトウェア (truesight.sys) に関連付けられた正規ではあるが脆弱なドライバを悪用し、最終的には、Bring Your Own Vulnerable Driver (BYOVD) 攻撃でセキュリティ ソリューションを無効にします。 Remcos RAT を提供します。