Вредоносное ПО Ande Loader распространяется с помощью фишинга

Было замечено, что злоумышленник Blind Eagle использовал вредоносное ПО-загрузчик под названием Ande Loader для распространения троянов удаленного доступа (RAT), таких как Remcos RAT и NjRAT. По данным eSentire, эти атаки, инициированные посредством фишинговых электронных писем, были специально нацелены на испаноязычных лиц, работающих в производственном секторе Северной Америки.

Blind Eagle, также известный как APT-C-36, является финансово мотивированным злоумышленником с опытом проведения кибератак на цели в Колумбии и Эквадоре, предоставляя различные RAT, включая AsyncRAT, BitRAT, Lime RAT, NjRAT, Remcos RAT и Квазар КРЫСА. Недавние результаты указывают на расширение стратегии таргетинга злоумышленников, используя тактику фишинга с архивами RAR и BZ2 для инициации процесса заражения.

Метод проникновения Ande Loader

Архивы RAR, защищенные паролями, содержат вредоносный файл Visual Basic Script (VBScript), отвечающий за сохранение в папке автозагрузки Windows и запуск Ande Loader, который затем загружает полезную нагрузку Remcos RAT. Альтернативно, в другом наблюдаемом методе атаки архив BZ2, содержащий файл VBScript, распространяется через ссылку сети доставки контента (CDN) Discord, при этом Ande Loader удаляет NjRAT вместо Remcos RAT.

eSentire отметил, что Blind Eagle использует криптеры, разработанные людьми, известными как Roda и Pjoao1578. Один из шифровальщиков Роды содержит жестко запрограммированный сервер, на котором размещены как компоненты-инжекторы шифровальщика, так и дополнительное вредоносное ПО, используемое в кампании Blind Eagle.

Эти разработки совпадают с раскрытием SonicWall другого семейства вредоносных программ-загрузчиков под названием DBatLoader, которое использует законный, но уязвимый драйвер, связанный с программным обеспечением RogueKiller AntiMalware (truesight.sys), для отключения решений безопасности в атаке «Принеси свой собственный уязвимый драйвер» (BYOVD), в конечном итоге поставка Remcos RAT.