W niepokojącym rozwoju cyberbezpieczeństwa, grupa zagrożenia znana jako Blind Eagle, zidentyfikowany również jako APT-C-36, zintensyfikował swoje szkodliwe działania. Ten kolektyw napędzany finansami wdraża zaawansowane złośliwe oprogramowanie, nazwany Ande Loader, do infiltrowania systemów za pomocą trojanów zdalnego dostępu (SZCZURY) takie jak Remcos RAT i NjRAT. Taktyka ta oznacza znaczącą ewolucję w sposobie ich działania, dotykające głównie osoby hiszpańskojęzyczne w sektorze produkcyjnym w Ameryce Północnej.
Ande Loader atakuje Blind Eagle
Według cyberbezpieczeństwa eksperci w eSentire, głównym wektorem tej najnowszej serii ataków są wiadomości e-mail typu phishing. Te e-maile, sprytnie zamaskowane, aby oszukać odbiorców, zawierają archiwa chronione hasłem w formatach RAR i BZ2. Kiedy niespodziewanie został otwarty, te archiwa wydają a złośliwy skrypt Visual Basic (VBScript) plik. Skrypt ten nie tylko zapewnia trwałość złośliwego oprogramowania poprzez osadzenie się w folderze startowym systemu Windows, ale także inicjuje program Ande Loader, w konsekwencji rozmieszczając ładunki RAT.
Historia włamań cybernetycznych Blind Eagle ujawnia schemat ataków wymierzonych w podmioty w Kolumbii i Ekwadorze, wykorzystując różne RAT, w tym Montaż, BitRAT, Limonkowy SZCZUR, NjRAT, Remcos RAT, i Kwazar RAT, aby spełnić swoje motywy finansowe. Ta najnowsza seria ataków oznacza rozszerzenie zasięgu geograficznego i przemysłowego grupy, stwarzając zwiększone zagrożenie dla przemysłu wytwórczego w Ameryce Północnej.
W godnej uwagi alternatywnej metodzie ataku, Firma eSentire zaobserwowała dystrybucję pliku VBScript za pośrednictwem archiwum BZ2, tym razem za pośrednictwem łącza udostępnionego w sieci dostarczania treści Discord (CDN). Ta metoda różni się dostarczaniem NjRAT zamiast Remcos RAT, pokazujące wszechstronność i zdolność przystosowania się ugrupowania stwarzającego zagrożenie w zakresie wykorzystywania różnych platform cyfrowych do prowadzenia swoich operacji.
Groźby cyberbezpieczeństwa ujawnione w marcu 2025
Marsz 2025 odnotowano znaczącą ewolucję w taktykach cybernetycznych, z grupami ransomware przyjmującymi nowe techniki i rozszerzają swoją działalność. Badacze bezpieczeństwa zidentyfikowali w tym miesiącu kilka zagrożeń o wysokim wpływie,…
PUA:Win32/rdpwrap – Co robić?
Jeśli kiedykolwiek spotkałeś ostrzeżenie pua:Win32/rdpwrap na komputerze systemu Windows, Być może zastanawiasz się: *Czy mój system jest zarażony? Czy powinienem panikować?* Podczas gdy to ostrzeżenie może być niepokojące, To ważne…
Dalsze komplikowanie krajobrazu cyberbezpieczeństwa, Dochodzenia eSentire ujawniają, że Blind Eagle korzystał z programów szyfrujących opracowanych przez osoby znane jako Roda i Pjoao1578. Te krypty, wyrafinowane w swoim designie, odgrywają kluczową rolę w ukrywaniu złośliwego oprogramowania, z jednym konkretnym programem szyfrującym firmy Roda, który okazał się bezpośrednio powiązany ze złośliwym oprogramowaniem i dodatkowymi złośliwymi ładunkami używanymi w kampaniach Blind Eagle.
W szerszym kontekście zagrożeń cyberbezpieczeństwa, Najnowsze spostrzeżenia SonicWall na temat innej rodziny złośliwego oprogramowania, DBatLoader, zwracają uwagę na skomplikowane metody stosowane przez cyberprzestępców. DBatLoader wykorzystuje legalne, jeszcze wrażliwy sterownik z RogueKiller chroniący przed złośliwym oprogramowaniem oprogramowanie do omijania rozwiązań bezpieczeństwa w technice znanej jako Bring Your Own Vulnerable Driver (BYOVD), ostatecznie ułatwiając dostawę Remcos RAT.
Wniosek
To eskalacja cyberataków, charakteryzują się coraz bardziej wyrafinowanymi metodami i szerszym zakresem targetowania, podkreśla pilną potrzebę zwiększenia środków i zwiększenia świadomości w zakresie cyberbezpieczeństwa. Organizacje, szczególnie w sektorze produkcyjnym, zaleca się zachować czujność, przyjąć kompleksowe protokoły bezpieczeństwa, oraz edukować swoich pracowników w zakresie rozpoznawania i łagodzenia zagrożeń związanych z phishingiem, aby chronić się przed ewoluującymi zagrożeniami cyfrowymi.