I en bekymrende udvikling for cybersikkerhed, trusselsgruppen kendt som Blind Eagle, også identificeret som APT-C-36, har intensiveret sine ondsindede aktiviteter. Dette økonomisk drevne kollektiv har implementeret en avanceret malware, døbt Ande Loader, at infiltrere systemer med fjernadgang trojanske heste (RAT'er) såsom Remcos RAT og NjRAT. Denne taktik markerer en betydelig udvikling i deres arbejdsmetode, primært påvirker spansktalende personer inden for fremstillingssektoren i hele Nordamerika.
Ande Loader Attacks af Blind Eagle
Ifølge cybersikkerhed eksperter hos eSentire, denne seneste bølge af angreb udnytter phishing-e-mails som dens primære vektor. Disse e-mails, smart forklædt for at bedrage modtagere, indeholde adgangskodebeskyttede arkiver i RAR- og BZ2-formater. Når intetanende åbnes, disse arkiver frigiver en ondsindet Visual Basic Script (VBScript) fil. Dette script sikrer ikke kun malwarens vedholdenhed ved at indlejre sig selv i Windows Startup-mappen, men starter også Ande Loader, følgelig implementering af RAT-nyttelasterne.
Blind Eagles historie med cyberangreb afslører et mønster af angreb rettet mod enheder i Colombia og Ecuador, anvender en række forskellige RAT'er, inklusive AsyncRAT, BitRAT, Kalk RATTE, NjRAT, Remcos RAT, og Quasar RAT, at opfylde sine økonomiske motiver. Denne seneste serie af angreb betyder en udvidelse af gruppens geografiske og industrielle målretning, udgør en øget trussel mod fremstillingsindustrien i Nordamerika.
I en bemærkelsesværdig alternativ angrebsmetode, eSentire observerede distributionen af en VBScript-fil via et BZ2-arkiv, denne gang via et link på Discord indholdsleveringsnetværket (CDN). Denne metode afviger ved at levere NjRAT i stedet for Remcos RAT, viser trusselsaktørens alsidighed og tilpasningsevne til at udnytte forskellige digitale platforme til at udføre sine operationer.
Alrustiq Service Virus
Nogle vira er farligere end andre, og Alrustiq Service er en af de værste. Selvom det almindeligvis kaldes “Alrustiq,” det er faktisk en CoinMiner-virus. This malicious software secretly…
HELD ransomware (virus) – Gratis instruktioner
Held Ransomware Overview Held ransomware is a type of harmful software that locks your important files by encrypting them, Gør det umuligt at få adgang til dem. It works silently in the…
Yderligere komplicerer cybersikkerhedslandskabet, eSentires undersøgelser afslører, at Blind Eagle har brugt cryptere udviklet af personer kendt som Roda og Pjoao1578. Disse kryptere, sofistikerede i deres design, spiller en afgørende rolle i at skjule malwaren, med en specifik kryptering af Roda fundet direkte forbundet med malware og yderligere ondsindede nyttelaster, der bruges i Blind Eagles kampagner.
I en bredere kontekst af cybersikkerhedstrusler, SonicWalls seneste indsigt i en anden malware-familie, DBatLoader, fremhæve de indviklede metoder, der anvendes af cyberkriminelle. DBatLoader bruger en legitim, dog sårbar chauffør fra RogueKiller AntiMalware software til at omgå sikkerhedsløsninger i en teknik kendt som Bring Your Own Vulnerable Driver (BYOVD), i sidste ende lette leveringen af Remcos RAT.
Konklusion
Denne eskalering i cyberangreb, kendetegnet ved stadig mere sofistikerede metoder og et bredere målretningsområde, understreger det presserende behov for forbedrede cybersikkerhedsforanstaltninger og -bevidsthed. Organisationer, især i fremstillingssektoren, rådes til at være på vagt, vedtage omfattende sikkerhedsprotokoller, og uddanne deres arbejdsstyrke i at genkende og afbøde phishing-trusler for at beskytte sig mod disse udviklende digitale farer.