I en angående utvikling for cybersikkerhet, Trusselgruppen kjent som Blind Eagle, også identifisert som APT-C-36, har intensivert sine ondsinnede aktiviteter. Dette økonomisk drevne kollektivet har distribuert en avansert skadelig programvare, kalt Ande Loader, å infiltrere systemer med trojanere med fjerntilgang (RATTER) som Remcos RAT og NjRAT. Denne taktikken markerer en betydelig utvikling i deres operasjonsmetode, påvirker først og fremst spansktalende personer innen produksjonssektoren over hele Nord-Amerika.
Ande Loader Attacks av Blind Eagle
I følge cybersikkerhet eksperter hos eSentire, denne siste angrepsmengden utnytter phishing-e-poster som sin primære vektor. Disse e-postene, smart forkledd for å lure mottakere, inneholder passordbeskyttede arkiver i RAR- og BZ2-formater. Når intetanende åpnet, disse arkivene gir ut en ondsinnet Visual Basic-skript (VBScript) fil. Dette skriptet sikrer ikke bare skadelig programvares utholdenhet ved å bygge seg inn i Windows Startup-mappen, men starter også Ande Loader, følgelig distribuere RAT-nyttelastene.
Blind Eagles historie med cyberinngrep avslører et mønster av angrep rettet mot enheter i Colombia og Ecuador, ved å bruke en rekke RAT-er, gjelder også Forsamling, BitRAT, Lime RATTE, NjRAT, Remcos RAT, og Quasar RAT, for å oppfylle sine økonomiske motiver. Denne siste serien med angrep betyr en utvidelse av gruppens geografiske og industrielle målretting, utgjør en økt trussel mot produksjonsindustrien i Nord-Amerika.
I en bemerkelsesverdig alternativ angrepsmetode, eSentire observerte distribusjonen av en VBScript-fil via et BZ2-arkiv, denne gangen via en lenke på Discord innholdsleveringsnettverk (CDN). Denne metoden avviker ved å levere NjRAT i stedet for Remcos RAT, vise frem trusselaktørens allsidighet og tilpasningsevne ved å utnytte ulike digitale plattformer for å utføre sine operasjoner.
Store cybersikkerhetstrusler avslørt i mars 2025
mars 2025 har sett en betydelig evolusjon i cybertrusselaktikk, Med ransomware -grupper som tar i bruk nye teknikker og utvider sin virksomhet. Sikkerhetsforskere har identifisert flere trusler med høy innvirkning denne måneden,…
PUA:Win32/rdpwrap – Hva du skal gjøre?
Hvis du noen gang har møtt varslet PUA:Win32/rdpwrap på Windows PC, Du lurer kanskje på: *Er systemet mitt smittet? Skal jeg få panikk?* Mens denne advarselen kan være alarmerende, det er viktig…
Ytterligere komplisere cybersikkerhetslandskapet, eSentires undersøkelser avslører at Blind Eagle har brukt kryptere utviklet av individer kjent som Roda og Pjoao1578. Disse krypterne, sofistikert i deres design, spiller en avgjørende rolle for å skjule skadelig programvare, med en spesifikk kryptering av Roda funnet å være direkte knyttet til skadelig programvare og ytterligere skadelige nyttelaster brukt i Blind Eagles kampanjer.
I en bredere kontekst av cybersikkerhetstrusler, SonicWalls nylige innsikt i en annen skadevarefamilie, DBatLoader, fremheve de intrikate metodene som brukes av nettkriminelle. DBatLoader bruker en legitim, likevel sårbar sjåfør fra RogueKiller AntiMalware programvare for å omgå sikkerhetsløsninger i en teknikk kjent som Bring Your Own Vulnerable Driver (BYOVD), til slutt lette leveringen av Remcos RAT.
Konklusjon
Denne eskaleringen i cyberangrep, preget av stadig mer sofistikerte metoder og et bredere målrettingsomfang, understreker det presserende behovet for økte cybersikkerhetstiltak og bevissthet. Organisasjoner, spesielt i produksjonssektoren, rådes til å være på vakt, vedta omfattende sikkerhetsprotokoller, og utdanne arbeidsstyrken deres i å gjenkjenne og redusere phishing-trusler for å beskytte seg mot disse utviklende digitale farene.