Blind Eagle olarak bilinen tehdit aktörünün, Remcos RAT ve NjRAT gibi uzaktan erişim truva atlarını (RAT’lar) dağıtmak için Ande Loader adlı bir yükleyici kötü amaçlı yazılımını kullandığı gözlemlendi.
Kimlik avı e-postaları şeklindeki saldırılar, Kuzey Amerika merkezli imalat sektöründeki eSentire’de İspanyolca konuşan kullanıcıları hedef aldı. söz konusu.
Blind Eagle (aka APT-C-36), AsyncRAT, BitRAT, Lime RAT, NjRAT, Remcos RAT dahil olmak üzere çeşitli RAT’lar sunmak için Kolombiya ve Ekvador’daki kuruluşlara karşı siber saldırılar düzenleme geçmişine sahip, finansal motivasyona sahip bir tehdit aktörüdür. ve Quasar RAT.
En son bulgular, tehdit aktörünün hedefleme ayak izinin genişlediğine işaret ederken, aynı zamanda enfeksiyon zincirini etkinleştirmek için RAR ve BZ2 arşivlerini içeren kimlik avı arşivlerinden de yararlanıyor.
Parola korumalı RAR arşivleri, Windows Başlangıç klasöründe kalıcılık oluşturmaktan ve Remcos RAT yükünü yükleyen Ande Yükleyiciyi başlatmaktan sorumlu olan kötü amaçlı bir Visual Basic Komut Dosyası (VBScript) dosyasıyla birlikte gelir.
Kanadalı siber güvenlik firmasının gözlemlediği alternatif bir saldırı dizisinde, VBScript dosyasını içeren bir BZ2 arşivi, Discord içerik dağıtım ağı (CDN) bağlantısı aracılığıyla dağıtılıyor. Bu durumda Ande Loader kötü amaçlı yazılımı Remcos RAT yerine NjRAT’ı düşürüyor.
eSentire, “Blind Eagle tehdit aktörleri Roda ve Pjoao1578 tarafından yazılan şifreleyicileri kullanıyor” dedi. “Roda tarafından geliştirilen şifreleyicilerden biri, şifreleyicinin hem enjektör bileşenlerini hem de Blind Eagle kampanyasında kullanılan ek kötü amaçlı yazılımları barındıran sabit kodlu bir sunucuya sahip.”
Bu gelişme, SonicWall’ın DBatLoader adı verilen başka bir yükleyici kötü amaçlı yazılım ailesinin iç işleyişine ışık tutması ve RogueKiller AntiMalware yazılımıyla ilişkili meşru ancak savunmasız bir sürücünün kullanımını ayrıntılarıyla anlatmasıyla ortaya çıkıyor (truesight.sys) Kendi Savunmasız Sürücünüzü Getirin (BYOVD) saldırısının bir parçası olarak güvenlik çözümlerini sonlandırmak ve sonuçta Remcos RAT’ı sunmak.
Şirket, “Kötü amaçlı yazılım, bir e-posta eki olarak bir arşivin içinde alınıyor ve çok katmanlı şifreleme verisi içerdiğinden oldukça karmaşık.” kayıt edilmiş bu aydan daha erken.