Dans une évolution préoccupante pour la cybersécurité, le groupe menaçant connu sous le nom de Blind Eagle, également identifié comme APT-C-36, a intensifié ses activités malveillantes. Ce collectif à vocation financière a déployé un malware avancé, surnommé Ande Loader, pour infiltrer les systèmes avec des chevaux de Troie d'accès à distance (RAT) tels que Remcos RAT et NjRAT. Cette tactique marque une évolution significative dans leur mode de fonctionnement, affectant principalement les hispanophones du secteur manufacturier en Amérique du Nord.
Ande Loader Attaques par Blind Eagle
Selon la cybersécurité experts chez eSentire, cette dernière série d'attaques exploite les e-mails de phishing comme principal vecteur. Ces e-mails, intelligemment déguisé pour tromper les destinataires, contenir des archives protégées par mot de passe aux formats RAR et BZ2. Lorsqu'il est ouvert sans méfiance, ces archives libèrent un Script Visual Basic malveillant (VBScript) déposer. Ce script garantit non seulement la persistance du malware en s'intégrant dans le dossier de démarrage de Windows, mais lance également Ande Loader., déployant par conséquent les charges utiles RAT.
L’historique des cyber-incursions de Blind Eagle révèle un schéma d’attaques ciblant des entités en Colombie et en Équateur., employant une variété de RAT, y compris Assemblée, BitRAT, Chaux RAT, NjRAT, Remcos RAT, et Quasar RAT, pour remplir ses motivations financières. Cette dernière série d’attaques signifie une expansion du ciblage géographique et industriel du groupe., ce qui représente une menace accrue pour l’industrie manufacturière en Amérique du Nord.
Dans une méthode d'attaque alternative notable, eSentire a observé la diffusion d'un fichier VBScript via une archive BZ2, cette fois via un lien fourni sur le réseau de diffusion de contenu Discord (CDN). Cette méthode diverge en délivrant NjRAT au lieu de Remcos RAT, mettant en valeur la polyvalence et l’adaptabilité de l’acteur malveillant dans l’exploitation de diverses plateformes numériques pour mener ses opérations.
Les principales menaces de cybersécurité révélées en mars 2025
Mars 2025 a vu une évolution significative des tactiques de cyber-menace, avec des groupes de ransomwares adoptant de nouvelles techniques et élargissant leurs opérations. Les chercheurs en sécurité ont identifié plusieurs menaces à fort impact ce mois-ci,…
PUA:Win32 / rdpwrap – Ce qu'il faut faire?
Si vous avez déjà rencontré l'alerte PUA:Win32 / rdpwrap sur votre PC Windows, Vous vous demandez peut-être: *Mon système est-il infecté? Devrais-je paniquer?* Alors que cet avertissement peut être alarmant, c'est important…
Compliquer davantage le paysage de la cybersécurité, Les enquêtes d'eSentire révèlent que Blind Eagle a utilisé des crypteurs développés par des individus connus sous le nom de Roda et Pjoao1578.. Ces cryptographes, sophistiqué dans leur conception, jouer un rôle crucial dans la dissimulation des logiciels malveillants, avec un crypteur spécifique de Roda qui s'est avéré directement lié au malware et aux charges utiles malveillantes supplémentaires utilisées dans les campagnes de Blind Eagle.
Dans un contexte plus large de menaces de cybersécurité, Aperçus récents de SonicWall sur une autre famille de logiciels malveillants, DBatLoader, mettre en évidence les méthodes complexes employées par les cybercriminels. DBatLoader utilise un légitime, conducteur pourtant vulnérable de RogueKiller Anti-Malware logiciel pour contourner les solutions de sécurité selon une technique connue sous le nom de Bring Your Own Vulnerable Driver (Byovd), faciliter à terme la livraison de Remcos RAT.
Conclusion
Cette escalade des cyberattaques, caractérisé par des méthodes de plus en plus sophistiquées et un champ de ciblage plus large, souligne la nécessité urgente de renforcer les mesures de cybersécurité et de sensibilisation. Organisations, en particulier dans le secteur manufacturier, il est conseillé de rester vigilant, adopter des protocoles de sécurité complets, et former leur personnel à reconnaître et à atténuer les menaces de phishing afin de se prémunir contre ces dangers numériques en constante évolution..