Złośliwe oprogramowanie Ande Loader rozprzestrzenia się za pomocą phishingu
Zaobserwowano, że ugrupowanie zagrażające Blind Eagle wykorzystuje szkodliwe oprogramowanie ładujące o nazwie Ande Loader do dystrybucji trojanów dostępu zdalnego (RAT), takich jak Remcos RAT i NjRAT. Według raportów eSentire ataki te, zainicjowane za pośrednictwem wiadomości e-mail typu phishing, były w szczególności wymierzone w osoby hiszpańskojęzyczne z sektora produkcyjnego zlokalizowanego w Ameryce Północnej.
Blind Eagle, znany również jako APT-C-36, to ugrupowanie cyberprzestępcze motywowane finansowo, mające doświadczenie w przeprowadzaniu cyberataków na cele w Kolumbii i Ekwadorze, dostarczające różne RAT, w tym AsyncRAT, BitRAT, Lime RAT, NjRAT, Remcos RAT i Kwazarowy szczur. Ostatnie odkrycia wskazują na rozszerzenie strategii namierzania ugrupowania zagrażającego, wykorzystując taktykę phishingu z wykorzystaniem archiwów RAR i BZ2 w celu zainicjowania procesu infekcji.
Metoda infiltracji Ande Loadera
Archiwa RAR, chronione hasłami, zawierają złośliwy plik Visual Basic Script (VBScript) odpowiedzialny za ustanowienie trwałości w folderze startowym systemu Windows i zainicjowanie programu Ande Loader, który następnie ładuje ładunek Remcos RAT. Alternatywnie, w przypadku innej zaobserwowanej metody ataku, archiwum BZ2 zawierające plik VBScript jest dystrybuowane za pośrednictwem łącza sieci dostarczania treści Discord (CDN), przy czym Ande Loader porzuca NjRAT zamiast Remcos RAT.
eSentire zauważyło, że Blind Eagle korzysta z programów szyfrujących opracowanych przez osoby znane jako Roda i Pjoao1578. Jeden z programów szyfrujących Rody zawiera zakodowany na stałe serwer, na którym znajdują się zarówno komponenty wtryskiwaczy narzędzia szyfrującego, jak i dodatkowe złośliwe oprogramowanie wykorzystywane w kampanii Blind Eagle.
Wydarzenia te zbiegają się z ujawnieniem przez firmę SonicWall innej rodziny szkodliwego oprogramowania ładującego o nazwie DBatLoader, która wykorzystuje legalny, ale podatny na ataki sterownik powiązany z oprogramowaniem RogueKiller AntiMalware (truesight.sys) w celu wyłączenia rozwiązań zabezpieczających w wyniku ataku Bring Your Own Vulnerable Driver (BYOVD), ostatecznie dostarczanie Remcos RAT.