In een zorgwekkende ontwikkeling op het gebied van cybersecurity, de dreigingsgroep die bekend staat als Blind Eagle, ook geïdentificeerd als APT-C-36, heeft zijn kwaadaardige activiteiten geïntensiveerd. Dit financieel gedreven collectief heeft geavanceerde malware ingezet, genaamd Ande Loader, om systemen te infiltreren met trojans voor externe toegang (RAT's) zoals Remcos RAT en NjRAT. Deze tactiek markeert een belangrijke evolutie in hun werkwijze, Dit treft vooral Spaanstalige individuen binnen de productiesector in Noord-Amerika.
Ande Loader-aanvallen door Blind Eagle
Volgens cyberveiligheid experts bij eSentire, Deze laatste aanvalsgolf maakt gebruik van phishing-e-mails als voornaamste vector. Deze e-mails, slim vermomd om de ontvangers te misleiden, bevatten met een wachtwoord beveiligde archieven in RAR- en BZ2-formaten. Wanneer nietsvermoedend geopend, deze archieven geven een vrij kwaadaardige Visual Basic-script (VBScript) bestand. Dit script zorgt niet alleen voor de persistentie van de malware door zichzelf in te sluiten in de Windows Startup-map, maar initieert ook de Ande Loader, bijgevolg de inzet van de RAT-payloads.
De geschiedenis van cyberinvallen van Blind Eagle onthult een patroon van aanvallen gericht op entiteiten in Colombia en Ecuador, gebruik van verschillende RAT's, inbegrepen Montage, BitRAT, Limoen RAT, NjRAT, Remcos RAT, en Quasar RAT, om zijn financiële motieven te vervullen. Deze laatste reeks aanvallen betekent een uitbreiding van de geografische en industriële doelwitten van de groep, vormt een verhoogde bedreiging voor de productie-industrie in Noord-Amerika.
In een opmerkelijke alternatieve aanvalsmethode, eSentire observeerde de distributie van een VBScript-bestand via een BZ2-archief, dit keer via een link op het Discord-inhoudsleveringsnetwerk (CDN). Deze methode wijkt af door NjRAT te leveren in plaats van Remcos RAT, het demonstreert de veelzijdigheid en het aanpassingsvermogen van de dreigingsactoren bij het exploiteren van verschillende digitale platforms om zijn operaties uit te voeren.
Grote cybersecurity -bedreigingen onthulden in maart 2025
Maart 2025 heeft een belangrijke evolutie gezien in tactieken van cyberdreigingen, met ransomware -groepen die nieuwe technieken aannemen en hun activiteiten uitbreiden. Beveiligingsonderzoekers hebben deze maand verschillende bedreigingen met een hoge impact geïdentificeerd,…
PUA:Win32/rdpwrap – Wat te doen?
Als je ooit de alert PUA bent tegengekomen:Win32/rdpwrap op uw Windows -pc, Je vraagt je misschien af: *Is mijn systeem geïnfecteerd? Moet ik in paniek raken?* Hoewel deze waarschuwing alarmerend kan zijn, het is belangrijk…
Het cyberbeveiligingslandschap wordt nog ingewikkelder, Uit het onderzoek van eSentire blijkt dat Blind Eagle crypters heeft gebruikt die zijn ontwikkeld door personen bekend als Roda en Pjoao1578. Deze crypters, verfijnd in hun ontwerp, spelen een cruciale rol bij het verbergen van de malware, met één specifieke crypter van Roda die rechtstreeks verband houdt met de malware en aanvullende kwaadaardige ladingen die worden gebruikt in de campagnes van Blind Eagle.
In een bredere context van cyberdreigingen, SonicWall's recente inzichten in een andere malwarefamilie, DBatLoader, benadrukken de ingewikkelde methoden die cybercriminelen gebruiken. DBatLoader maakt gebruik van een legitiem, maar kwetsbare bestuurder uit RogueKiller AntiMalware software om beveiligingsoplossingen te omzeilen met een techniek die bekend staat als Bring Your Own Vulnerable Driver (Byovd), uiteindelijk het faciliteren van de levering van Remcos RAT.
Conclusie
Deze escalatie van cyberaanvallen, gekenmerkt door steeds geavanceerdere methoden en een bredere doelgroep, onderstreept de dringende behoefte aan verbeterde cyberbeveiligingsmaatregelen en bewustzijn. Organisaties, vooral in de productiesector, wordt geadviseerd waakzaam te blijven, uitgebreide beveiligingsprotocollen aannemen, en hun personeel voorlichten over het herkennen en beperken van phishing-bedreigingen om zich te beschermen tegen deze evoluerende digitale gevaren.