.jpg "Kötü Amaçlı Yazılım Yükleyici")
Blind Eagle olarak bilinen tehdit aktörünün, Remcos RAT ve NjRAT gibi uzaktan erişim truva atlarını (RAT'lar) dağıtmak için Ande Loader adlı bir yükleyici kötü amaçlı yazılımını kullandığı gözlemlendi.
eSentire, kimlik avı e-postaları şeklindeki saldırıların Kuzey Amerika merkezli imalat sektöründe İspanyolca konuşan kullanıcıları hedef aldığını söyledi.
Blind Eagle (aka APT-C-36), AsyncRAT, BitRAT, Lime RAT, NjRAT, Remcos RAT dahil olmak üzere çeşitli RAT'lar sunmak için Kolombiya ve Ekvador'daki kuruluşlara karşı siber saldırılar düzenleme geçmişine sahip, finansal motivasyona sahip bir tehdit aktörüdür. ve Quasar RAT.
En son bulgular, tehdit aktörünün hedefleme ayak izinin genişlediğine işaret ederken, aynı zamanda enfeksiyon zincirini etkinleştirmek için RAR ve BZ2 arşivlerini içeren kimlik avı arşivlerinden de yararlanıyor.
Parola korumalı RAR arşivleri, Windows Başlangıç klasöründe kalıcılık oluşturmaktan ve Remcos RAT yükünü yükleyen Ande Yükleyiciyi başlatmaktan sorumlu olan kötü amaçlı bir Visual Basic Komut Dosyası (VBScript) dosyasıyla birlikte gelir.
Kanadalı siber güvenlik firmasının gözlemlediği alternatif bir saldırı dizisinde, VBScript dosyasını içeren bir BZ2 arşivi, Discord içerik dağıtım ağı (CDN) bağlantısı aracılığıyla dağıtılıyor. Bu durumda Ande Loader kötü amaçlı yazılımı Remcos RAT yerine NjRAT'ı düşürüyor.
eSentire, “Blind Eagle tehdit aktörleri Roda ve Pjoao1578 tarafından yazılan şifreleyicileri kullanıyor” dedi. “Roda tarafından geliştirilen şifreleyicilerden biri, şifreleyicinin hem enjektör bileşenlerini hem de Blind Eagle kampanyasında kullanılan ek kötü amaçlı yazılımları barındıran sabit kodlu bir sunucuya sahip.”
Bu gelişme, SonicWall'ın, DBatLoader adlı başka bir yükleyici kötü amaçlı yazılım ailesinin iç işleyişine ışık tutmasıyla birlikte geliyor ve Bring Your Get Your programının bir parçası olarak güvenlik yazılımını sonlandırmak için RogueKiller AntiMalware yazılımı (truesight.sys) ile ilişkili yasal ancak savunmasız bir sürücünün kullanımını ayrıntılarıyla anlatıyor. Savunmasız Sürücü (BYOVD) saldırısına sahip olun ve sonuçta Remcos RAT'ı teslim edin.
Şirket, bu ayın başlarında yaptığı açıklamada, “Kötü amaçlı yazılım bir arşivin içinde e-posta eki olarak alınıyor ve çok katmanlı şifreleme verileri içeriyor.” dedi.