Σε μια ανησυχητική εξέλιξη για την ασφάλεια στον κυβερνοχώρο, η ομάδα απειλής γνωστή ως Blind Eagle, προσδιορίζεται επίσης ως APT-C-36, έχει εντείνει τις κακόβουλες δραστηριότητές της. Αυτή η οικονομικά καθοδηγούμενη ομάδα έχει αναπτύξει ένα προηγμένο κακόβουλο λογισμικό, που ονομάστηκε Ande Loader, να διεισδύσει σε συστήματα με trojan απομακρυσμένης πρόσβασης (αρουραίους) όπως η Remcos RAT και NjRAT. Αυτή η τακτική σηματοδοτεί μια σημαντική εξέλιξη στον τρόπο λειτουργίας τους, που επηρεάζουν κυρίως τα ισπανόφωνα άτομα στον μεταποιητικό τομέα σε ολόκληρη τη Βόρεια Αμερική.
Ande Loader Attacks by Blind Eagle
Σύμφωνα με την κυβερνοασφάλεια ειδικοί στο eSentire, Αυτό το τελευταίο ξεφάντωμα επιθέσεων αξιοποιεί τα μηνύματα ηλεκτρονικού ψαρέματος ως τον κύριο φορέα του. Αυτά τα email, έξυπνα μεταμφιεσμένοι για να εξαπατήσουν τους παραλήπτες, περιέχει αρχεία που προστατεύονται με κωδικό πρόσβασης σε μορφές RAR και BZ2. Όταν ανυποψίαστα ανοιχτό, αυτά τα αρχεία κυκλοφορούν α κακόβουλο σενάριο της Visual Basic (VBScript) αρχείο. Αυτό το σενάριο όχι μόνο διασφαλίζει την επιμονή του κακόβουλου λογισμικού ενσωματώνοντας τον εαυτό του στον φάκελο εκκίνησης των Windows, αλλά επίσης εκκινεί το Ande Loader, κατά συνέπεια την ανάπτυξη των ωφέλιμων φορτίων RAT.
Η ιστορία των εισβολών στον κυβερνοχώρο του Blind Eagle αποκαλύπτει ένα μοτίβο επιθέσεων που στοχεύουν οντότητες στην Κολομβία και τον Ισημερινό, χρησιμοποιώντας μια ποικιλία από αρουραίους, συμπεριλαμβανομένου Συνέλευση, BitRAT, Ασβέστη RAT, NjRAT, Remcos RAT, και Quasar RAT, να εκπληρώσει τα οικονομικά της κίνητρα. Αυτή η τελευταία σειρά επιθέσεων σηματοδοτεί μια επέκταση της γεωγραφικής και βιομηχανικής στόχευσης της ομάδας, αποτελούν αυξημένη απειλή για τη μεταποιητική βιομηχανία στη Βόρεια Αμερική.
Σε μια αξιοσημείωτη εναλλακτική μέθοδο επίθεσης, Το eSentire παρατήρησε τη διανομή ενός αρχείου VBScript μέσω ενός αρχείου BZ2, αυτή τη φορά μέσω ενός συνδέσμου που παρέχεται στο δίκτυο παράδοσης περιεχομένου Discord (CDN). Αυτή η μέθοδος αποκλίνει παρέχοντας NjRAT αντί για Remcos RAT, παρουσιάζοντας την ευελιξία και την προσαρμοστικότητα του παράγοντα απειλής στην εκμετάλλευση διαφόρων ψηφιακών πλατφορμών για τη διεξαγωγή των εργασιών του.
Μεγάλες απειλές στον κυβερνοχώρο αποκαλύφθηκαν τον Μάρτιο 2025
Μάρτιος 2025 έχει δει μια σημαντική εξέλιξη στις τακτικές απειλής στον κυβερνοχώρο, με ομάδες ransomware να υιοθετούν νέες τεχνικές και να επεκτείνουν τις δραστηριότητές τους. Οι ερευνητές ασφαλείας έχουν εντοπίσει αρκετές απειλές υψηλής επίπτωσης αυτό το μήνα,…
PUA:Win32/rdpwrap – Τι να κάνω?
Εάν έχετε συναντήσει ποτέ την ειδοποίηση PUA:Win32/rdpwrap στον υπολογιστή σας Windows, Μπορεί να αναρωτιέστε: *Είναι μολυσμένο το σύστημά μου? Πρέπει να πανικοβάλω?* Ενώ αυτή η προειδοποίηση μπορεί να είναι ανησυχητική, είναι σημαντικό…
Περιπλέκει περαιτέρω το τοπίο της κυβερνοασφάλειας, Οι έρευνες του eSentire αποκαλύπτουν ότι το Blind Eagle έχει χρησιμοποιήσει κρυπτογράφηση που αναπτύχθηκαν από άτομα γνωστά ως Roda και Pjoao1578. Αυτοί οι κρυπτογράφοι, εξελιγμένα στο σχεδιασμό τους, παίζουν καθοριστικό ρόλο στην απόκρυψη του κακόβουλου λογισμικού, με έναν συγκεκριμένο κρυπτογράφηση από τη Roda που βρέθηκε να συνδέεται άμεσα με το κακόβουλο λογισμικό και πρόσθετα κακόβουλα ωφέλιμα φορτία που χρησιμοποιούνται στις καμπάνιες του Blind Eagle.
Σε ένα ευρύτερο πλαίσιο απειλών για την ασφάλεια στον κυβερνοχώρο, Πρόσφατες πληροφορίες της SonicWall για μια άλλη οικογένεια κακόβουλου λογισμικού, DBatLoader, επισημάνετε τις περίπλοκες μεθόδους που χρησιμοποιούν οι εγκληματίες του κυβερνοχώρου. Το DBatLoader χρησιμοποιεί ένα νόμιμο, αλλά ευάλωτος οδηγός από RogueKiller AntiMalware λογισμικό για την παράκαμψη λύσεων ασφαλείας σε μια τεχνική γνωστή ως Bring Your Own Vulnerable Driver (BYOVD), διευκολύνοντας τελικά την παράδοση της Remcos RAT.
Σύναψη
Αυτή η κλιμάκωση των επιθέσεων στον κυβερνοχώρο, χαρακτηρίζεται από όλο και πιο εξελιγμένες μεθόδους και ένα ευρύτερο πεδίο στόχευσης, υπογραμμίζει την επείγουσα ανάγκη για ενισχυμένα μέτρα κυβερνοασφάλειας και ευαισθητοποίηση. Οργανώσεις, ιδιαίτερα στον μεταποιητικό τομέα, συνιστάται να παραμείνουν σε επαγρύπνηση, υιοθετήσει ολοκληρωμένα πρωτόκολλα ασφαλείας, και να εκπαιδεύσουν το εργατικό δυναμικό τους για την αναγνώριση και τον μετριασμό των απειλών phishing για προστασία από αυτούς τους εξελισσόμενους ψηφιακούς κινδύνους.