„Ande Loader“ kenkėjiška programa plinta naudojant sukčiavimą

Buvo pastebėta, kad grėsmių veikėjas Blind Eagle naudojo kenkėjišką programinę įrangą, pavadintą Ande Loader, kad platintų nuotolinės prieigos Trojos arklius (RAT), tokius kaip Remcos RAT ir NjRAT. Remiantis „eSentire“ pranešimais, šios atakos, inicijuotos sukčiavimo el. laiškais, buvo konkrečiai nukreiptos į ispaniškai kalbančius asmenis gamybos sektoriuje Šiaurės Amerikoje.

Blind Eagle, taip pat žinomas kaip APT-C-36, yra finansiškai motyvuotas grėsmių veikėjas, turintis patirties vykdant kibernetines atakas prieš taikinius Kolumbijoje ir Ekvadore, pristatydamas įvairius RAT, įskaitant AsyncRAT, BitRAT, Lime RAT, NjRAT, Remcos RAT ir Kvazaras RAT. Naujausi išvados rodo, kad pavojaus veikėjo taikymo strategija buvo išplėsta, naudojant sukčiavimo taktiką su RAR ir BZ2 archyvais, kad būtų pradėtas infekcijos procesas.

Ande Loader infiltracijos metodas

RAR archyvuose, apsaugotuose slaptažodžiais, yra kenkėjiškas „Visual Basic Script“ (VBScript) failas, atsakingas už „Windows“ paleisties aplanko patvarumo nustatymą ir „Ande Loader“ inicijavimą, kuris įkelia „Remcos RAT“ naudingą apkrovą. Arba, naudojant kitą stebimą atakos metodą, BZ2 archyvas, kuriame yra VBScript failas, platinamas per Discord turinio pristatymo tinklo (CDN) nuorodą, o Ande Loader atmeta NjRAT vietoj Remcos RAT.

„eSentire“ pažymėjo, kad „Blind Eagle“ naudojo kripterius, kuriuos sukūrė asmenys, žinomi kaip Roda ir Pjoao1578. Viename iš „Roda“ šifravimo įrenginių yra užkoduotas serveris, kuriame yra ir šifravimo priemonės injekciniai komponentai, ir papildoma kenkėjiška programa, naudojama „Blind Eagle“ kampanijoje.

Šie pokyčiai sutampa su SonicWall atskleidimu apie kitą kenkėjiškų programų šeimą, vadinamą DBatLoader, kuri išnaudoja teisėtą, bet pažeidžiamą tvarkyklę, susijusią su RogueKiller AntiMalware programine įranga (truesight.sys), kad išjungtų saugos sprendimus per Bring Your Own Vulnerable Driver (BYOVD) ataką. pristatant Remcos RAT.