Търсене
Close this search box.

Зловредният софтуер Ande Loader е насочен към производствения сектор

Заплахата, известна като Blind Eagle, е наблюдавана да използва зловреден софтуер за зареждане, наречен Ande Loader, за да доставя троянски коне за отдалечен достъп (RAT) като Remcos RAT и NjRAT.

Атаките, които са под формата на фишинг имейли, са били насочени към испаноговорящи потребители в производствената индустрия, базирани в Северна Америка, съобщи eSentire.

Blind Eagle (известен още като APT-C-36) е финансово мотивиран участник в заплахи, който в миналото е организирал кибератаки срещу структури в Колумбия и Еквадор, за да достави набор от RAT, включително AsyncRAT, BitRAT, Lime RAT, NjRAT, Remcos RAT и Quasar RAT.

Последните констатации отбелязват разширяване на обхвата на таргетиране от страна на заплахата, като същевременно се използват фишинг имейли, съдържащи архиви RAR и BZ2, за да се активира веригата на заразяване.

Защитените с парола RAR архиви са снабдени със зловреден файл Visual Basic Script (VBScript), който отговаря за установяването на постоянство в стартовата папка на Windows и стартирането на Ande Loader, който на свой ред зарежда полезния товар на Remcos RAT.

При алтернативна последователност на атаката, наблюдавана от канадската фирма за киберсигурност, архивът BZ2, съдържащ файл VBScript, се разпространява чрез връзка в мрежата за доставка на съдържание Discord (CDN). В този случай зловредният софтуер Ande Loader пуска NjRAT вместо Remcos RAT.

„Авторът(ите) на заплахата Blind Eagle използва(т) криптографски програми, написани от Roda и Pjoao1578“, казват от eSentire. „Една от криптографските програми, разработени от Roda, има твърдо кодиран сървър, на който се намират както инжекторните компоненти на криптографа, така и допълнителен зловреден софтуер, който е бил използван в кампанията Blind Eagle.“

Разработката идва в момент, когато SonicWall хвърли светлина върху вътрешната работа на друго семейство зловреден софтуер, наречено DBatLoader, като подробно описа използването на легитимен, но уязвим драйвер, свързан със софтуера RogueKiller AntiMalware (truesight.sys), за да прекрати решенията за сигурност като част от атака Bring Your Own Vulnerable Driver (BYOVD) и в крайна сметка да достави Remcos RAT.

„Зловредният софтуер се получава вътре в архив като прикачен файл към имейл и е силно замаскиран, като съдържа няколко слоя данни за криптиране“, отбеляза компанията по-рано този месец.

 

Източник: The Hacker News

Подобни публикации

16 април 2024

CISA издаде извънредна директива

На 11 април Агенцията за киберсигурност и инфраструктурна сигурност...
15 април 2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви ареста и повдигането на...
15 април 2024

Daixin Team ransomware е атакувала успешно Omni...

Бандата Daixin Team ransomware е извършила неотдавнашна кибератака ...
15 април 2024

За проблемите с работната сила в сферата киберс...

  За проблемите с работната сила в сферата киберсигурността в ...
15 април 2024

КНДР се възползва от 2 подтехники: Призрачно от...

Този месец MITRE ще добави две подтехники към своята база данни ATT...
15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
Бъдете социални
Още по темата
22/03/2024

Над 800 npm пакети с несъот...

Ново изследване откри над 800 пакета...
28/02/2024

Новата версия на IDAT loade...

Хакерска група, проследена като „UAC-0184“, е...
22/02/2024

XSS бъгове в Joomla отварят...

Системата за управление на съдържание (CMS)...
Последно добавени
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!