Ande Loader 恶意软件利用网络钓鱼进行传播
据观察,威胁参与者 Blind Eagle 使用名为 Ande Loader 的加载程序恶意软件来分发远程访问木马 (RAT),例如 Remcos RAT 和 NjRAT。据 eSentire 报道,这些通过网络钓鱼电子邮件发起的攻击专门针对北美制造业中讲西班牙语的个人。
Blind Eagle,也称为 APT-C-36,是一个出于经济动机的威胁行为者,曾对哥伦比亚和厄瓜多尔的目标进行网络攻击,提供各种 RAT,包括 AsyncRAT、BitRAT、Lime RAT、NjRAT、Remcos RAT 和类星体老鼠。最近的发现表明威胁行为者的目标策略有所扩展,利用 RAR 和 BZ2 档案的网络钓鱼策略来启动感染过程。
安德装载机渗透法
受密码保护的 RAR 存档包含恶意 Visual Basic 脚本 (VBScript) 文件,负责在 Windows 启动文件夹中建立持久性并启动 Ande Loader,然后加载 Remcos RAT 负载。另外,在另一种观察到的攻击方法中,包含 VBScript 文件的 BZ2 存档通过 Discord 内容交付网络 (CDN) 链接进行分发,Ande Loader 会丢弃 NjRAT 而不是 Remcos RAT。
eSentire 指出,Blind Eagle 一直在使用由 Roda 和 Pjoao1578 开发的密码器。 Roda 的一个加密器包含一个硬编码服务器,其中托管加密器的注入器组件和 Blind Eagle 活动中使用的其他恶意软件。
这些进展与 SonicWall 披露的另一个名为 DBatLoader 的加载程序恶意软件系列相吻合,该系列利用与 RogueKiller AntiMalware 软件 (truesight.sys) 相关的合法但易受攻击的驱动程序,最终在自带易受攻击的驱动程序 (BYOVD) 攻击中禁用安全解决方案交付 Remcos RAT。