Заплахата, известна като Blind Eagle, е наблюдавана да използва зловреден софтуер за зареждане, наречен Ande Loader, за да доставя троянски коне за отдалечен достъп (RAT) като Remcos RAT и NjRAT.
Атаките, които са под формата на фишинг имейли, са били насочени към испаноговорящи потребители в производствената индустрия, базирани в Северна Америка, съобщи eSentire.
Blind Eagle (известен още като APT-C-36) е финансово мотивиран участник в заплахи, който в миналото е организирал кибератаки срещу структури в Колумбия и Еквадор, за да достави набор от RAT, включително AsyncRAT, BitRAT, Lime RAT, NjRAT, Remcos RAT и Quasar RAT.
Последните констатации отбелязват разширяване на обхвата на таргетиране от страна на заплахата, като същевременно се използват фишинг имейли, съдържащи архиви RAR и BZ2, за да се активира веригата на заразяване.
Защитените с парола RAR архиви са снабдени със зловреден файл Visual Basic Script (VBScript), който отговаря за установяването на постоянство в стартовата папка на Windows и стартирането на Ande Loader, който на свой ред зарежда полезния товар на Remcos RAT.
При алтернативна последователност на атаката, наблюдавана от канадската фирма за киберсигурност, архивът BZ2, съдържащ файл VBScript, се разпространява чрез връзка в мрежата за доставка на съдържание Discord (CDN). В този случай зловредният софтуер Ande Loader пуска NjRAT вместо Remcos RAT.
„Авторът(ите) на заплахата Blind Eagle използва(т) криптографски програми, написани от Roda и Pjoao1578“, казват от eSentire. „Една от криптографските програми, разработени от Roda, има твърдо кодиран сървър, на който се намират както инжекторните компоненти на криптографа, така и допълнителен зловреден софтуер, който е бил използван в кампанията Blind Eagle.“
Разработката идва в момент, когато SonicWall хвърли светлина върху вътрешната работа на друго семейство зловреден софтуер, наречено DBatLoader, като подробно описа използването на легитимен, но уязвим драйвер, свързан със софтуера RogueKiller AntiMalware (truesight.sys), за да прекрати решенията за сигурност като част от атака Bring Your Own Vulnerable Driver (BYOVD) и в крайна сметка да достави Remcos RAT.
„Зловредният софтуер се получава вътре в архив като прикачен файл към имейл и е силно замаскиран, като съдържа няколко слоя данни за криптиране“, отбеляза компанията по-рано този месец.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
