Ande Loader 惡意軟體利用網路釣魚進行傳播

據觀察，威脅參與者 Blind Eagle 使用名為 Ande Loader 的載入程式惡意軟體來分發遠端存取木馬 (RAT)，例如 Remcos RAT 和 NjRAT。根據 eSentire 報導，這些透過網路釣魚電子郵件發起的攻擊專門針對北美製造業中講西班牙語的個人。

Blind Eagle，也稱為APT-C-36，是一個出於經濟動機的威脅行為者，曾對哥倫比亞和厄瓜多爾的目標進行網路攻擊，提供各種RAT，包括AsyncRAT、BitRAT、Lime RAT、NjRAT、Remcos RAT 和類星體老鼠。最近的發現顯示威脅行為者的目標策略有所擴展，利用 RAR 和 BZ2 檔案的網路釣魚策略來啟動感染過程。

安德裝載機滲透法

受密碼保護的 RAR 檔案包含惡意 Visual Basic 腳本 (VBScript) 文件，負責在 Windows 啟動資料夾中建立持久性並啟動 Ande Loader，然後載入 Remcos RAT 負載。另外，在另一種觀察到的攻擊方法中，包含 VBScript 檔案的 BZ2 檔案會透過 Discord 內容分發網路 (CDN) 連結進行分發，Ande Loader 會丟棄 NjRAT 而不是 Remcos RAT。

eSentire 指出，Blind Eagle 一直在使用由 Roda 和 Pjoao1578 開發的密碼器。 Roda 的一個加密器包含一個硬編碼伺服器，其中託管加密器的注入器元件和 Blind Eagle 活動中使用的其他惡意軟體。

這些進展與SonicWall 披露的另一個名為DBatLoader 的加載程序惡意軟體系列相吻合，該系列利用與RogueKiller AntiMalware 軟體(truesight.sys) 相關的合法但易受攻擊的驅動程序，最終在自帶易受攻擊的驅動程式(BYOVD) 攻擊中禁用安全解決方案交付 Remcos RAT。