Ande Loader-Malware
Es wurde beobachtet, dass der als Blind Eagle identifizierte Cyber-Bedrohungsakteur eine Loader-Malware namens Ande Loader einsetzte, um Remote Access Trojans (RATs) wie Remcos RAT und NJ RAT zu verbreiten . Diese über Phishing-E-Mails ausgeführten Angriffe zielten speziell auf spanischsprachige Personen im verarbeitenden Gewerbe in Nordamerika ab.
Blind Eagle, auch bekannt als APT-C-36, ist ein finanziell motivierter Bedrohungsakteur mit einer Erfolgsbilanz bei der Durchführung von Cyberangriffen gegen Organisationen in Kolumbien und Ecuador. Ihre Vorgehensweise umfasst den Einsatz verschiedener RATs, darunter AsyncRAT , BitRAT , Lime RAT , NjRAT , Remcos RAT und Quasar RAT .
Die Ande Loader-Malware wird über mehrere Infektionsketten verbreitet
Die Ausweitung des Angriffsradius des Bedrohungsakteurs wird in der Ande Loader-Angriffsoperation deutlich, bei der Phishing-beladene RAR- und BZ2-Archive zum Einleiten des Infektionsprozesses eingesetzt werden.
Die durch Kennwörter geschützten RAR-Archive enthalten eine schädliche Visual Basic Script (VBScript)-Datei, die für die Persistenz im Windows-Startordner verantwortlich ist. Diese Datei löst auch die Ausführung des Ande Loader aus, der anschließend die Remcos RAT-Nutzlast lädt.
In einem alternativen Angriffsszenario, das von Cybersicherheitsforschern beobachtet wurde, wird ein BZ2-Archiv, das eine VBScript-Datei enthält, über einen Discord-Link zum Content Delivery Network (CDN) verbreitet. In diesem Fall löscht die Ande Loader-Malware NjRAT anstelle der Remcos RAT.
Der Bedrohungsakteur „Blind Eagle“ nutzte von Roda und Pjoao1578 hergestellte Krypter. Bemerkenswert ist, dass einer der Krypter von Roda über einen fest codierten Server verfügt, auf dem sowohl Injektorkomponenten des Krypters als auch zusätzliche Malware gehostet werden, die in der Blind Eagle-Kampagne verwendet wird.
Ratteninfektionen können verheerende Folgen haben
RATs sind bedrohliche Softwareprogramme, die darauf ausgelegt sind, unbefugten Zugriff und Kontrolle über den Computer oder das Netzwerk eines Opfers zu ermöglichen. Diese Infektionen können aus mehreren Gründen verheerende Folgen für die Opfer haben:
Insgesamt stellen RAT-Infektionen eine ernsthafte Bedrohung für Einzelpersonen, Unternehmen und Institutionen dar. Die möglichen Folgen reichen von finanziellen Verlusten und Reputationsschäden bis hin zu rechtlichen Verpflichtungen und nationalen Sicherheitsrisiken. Es unterstreicht die Bedeutung robuster Cybersicherheitsmaßnahmen, einschließlich regelmäßiger Software-Updates, Netzwerküberwachung, Benutzerschulung und des Einsatzes fortschrittlicher Technologien zur Erkennung und Eindämmung von Bedrohungen.