I en angelägen utveckling för cybersäkerhet, hotgruppen som kallas Blind Eagle, också identifierad som APT-C-36, har intensifierat sina illvilliga aktiviteter. Detta ekonomiskt drivna kollektiv har distribuerat en avancerad skadlig programvara, döpt till Ande Loader, att infiltrera system med fjärråtkomsttrojaner (RÅTTOR) som Remcos RAT och NjRAT. Denna taktik markerar en betydande utveckling i deras arbetssätt, påverkar främst spansktalande individer inom tillverkningssektorn över hela Nordamerika.
Ande Loader Attacks av Blind Eagle
Enligt cybersäkerhet experter på eSentire, den här senaste attacken utnyttjar nätfiske-e-post som sin primära vektor. Dessa mejl, skickligt förklädd för att lura mottagare, innehåller lösenordsskyddade arkiv i RAR- och BZ2-format. När intet ont anande öppnas, dessa arkiv publicerar en skadligt Visual Basic-skript (VBScript) fil. Det här skriptet säkerställer inte bara skadlig programvaras beständighet genom att bädda in sig själv i Windows Startup-mapp utan initierar också Ande Loader, följaktligen distribuera RAT-nyttolasterna.
Blind Eagles historia av cyberintrång avslöjar ett mönster av attacker riktade mot enheter i Colombia och Ecuador, använder en mängd olika RAT:er, Inklusive Montering, BitRAT, Kalk RATTA, NjRAT, Remcos RAT, och Quasar RAT, att uppfylla sina ekonomiska motiv. Den här senaste serien av attacker innebär en expansion av gruppens geografiska och industriella inriktning, utgör ett ökat hot mot tillverkningsindustrin i Nordamerika.
I en anmärkningsvärd alternativ attackmetod, eSentire observerade distributionen av en VBScript-fil via ett BZ2-arkiv, denna gång via en länk som tillhandahålls på Discords innehållsleveransnätverk (CDN). Denna metod avviker genom att leverera NjRAT istället för Remcos RAT, visa upp hotaktörens mångsidighet och anpassningsförmåga när det gäller att utnyttja olika digitala plattformar för att bedriva sin verksamhet.
Stora cybersäkerhetshot avslöjades i mars 2025
Mars 2025 har sett en betydande utveckling i cyberhotstaktik, med ransomware -grupper som antar nya tekniker och utvidgar sin verksamhet. Säkerhetsforskare har identifierat flera hot med hög påverkan denna månad,…
PUA:Win32/rdpwrap – Vad man ska göra?
Om du någonsin har stött på varningen PUA:Win32/rdpwrap på din Windows PC, Du kanske undrar: *Är mitt system infekterat? Ska jag få panik?* Medan denna varning kan vara alarmerande, Det är viktigt…
Att ytterligare komplicera cybersäkerhetslandskapet, eSentires undersökningar avslöjar att Blind Eagle har använt kryptor som utvecklats av individer kända som Roda och Pjoao1578. Dessa kryptor, sofistikerade i sin design, spelar en avgörande roll för att dölja skadlig programvara, med en specifik kryptering av Roda som visade sig vara direkt kopplad till skadlig programvara och ytterligare skadliga nyttolaster som används i Blind Eagles kampanjer.
I ett bredare sammanhang av cybersäkerhetshot, SonicWalls senaste insikter om en annan skadlig programvara familj, DBatLoader, lyfta fram de intrikata metoder som används av cyberbrottslingar. DBatLoader använder en legitim, ändå sårbar förare från RogueKiller AntiMalware programvara för att kringgå säkerhetslösningar i en teknik som kallas Bring Your Own Vulnerable Driver (BYOVD), i slutändan underlätta leveransen av Remcos RAT.
Slutsats
Denna eskalering i cyberattacker, kännetecknas av allt mer sofistikerade metoder och ett bredare inriktningsområde, Parlamentet understryker det akuta behovet av förbättrade cybersäkerhetsåtgärder och medvetenhet. Organisationer, särskilt inom tillverkningssektorn, rekommenderas att vara vaksam, anta omfattande säkerhetsprotokoll, och utbilda sin arbetsstyrka i att känna igen och mildra nätfiskehot för att skydda sig mot dessa föränderliga digitala faror.