Было замечено, что исполнитель угрозы, известный как Blind Eagle, использует вредоносную программу-загрузчик под названием Ande Loader для доставки троянов удаленного доступа (RATs), таких как Remcos RAT и njRAT.
Атаки, которые принимают форму фишинговых электронных писем, были нацелены на испаноязычных пользователей в обрабатывающей промышленности, базирующейся в Северной Америке, сказал eSentire.
Blind Eagle (он же APT-C-36) - это финансово мотивированный злоумышленник, который имеет опыт организации кибератак на организации в Колумбии и Эквадоре с целью доставки разнообразных крыс, включая AsyncRAT, BitRAT, Lime RAT, njRAT, Remcos RAT и Quasar RAT.
Последние данные свидетельствуют о расширении зоны действия злоумышленника, а также об использовании фишинговых архивов RAR и BZ2 для активации цепочки заражения.
Защищенные паролем архивы RAR поставляются с вредоносным файлом Visual Basic Script (VBScript), который отвечает за сохранение в папке автозагрузки Windows и запуск Ande Loader, который, в свою очередь, загружает полезную нагрузку Remcos RAT.
В альтернативной последовательности атак, замеченной канадской фирмой по кибербезопасности, архив BZ2, содержащий файл VBScript, распространяется по ссылке Discord content delivery network (CDN). Вредоносная программа Ande Loader в данном случае удаляет njRAT вместо Remcos RAT.
"Субъект (ы) угрозы Blind Eagle использовал шифровальщики, написанные Roda и Pjoao1578", - сказал эСентайр. "Один из шифровальщиков, разработанных Roda, имеет жестко запрограммированный сервер, на котором размещены оба инжекторных компонента шифровальщика и дополнительное вредоносное ПО, которое использовалось в кампании Blind Eagle".
Разработка происходит после того, как SonicWall пролил свет на внутреннюю работу другого семейства вредоносных программ-загрузчиков под названием DBatLoader, подробно описав использование им легитимного, но уязвимого драйвера, связанного с антивирусным программным обеспечением RogueKiller (truesight.sys) для отключения решений безопасности в рамках атаки "Принеси свой собственный уязвимый драйвер" (BYOVD) и, в конечном итоге, для обеспечения RAT Remco.
"Вредоносное ПО поступает в архиве в виде вложения электронной почты и является сильно запутанным, содержит несколько уровней шифрования данных", - отметила компания ранее в этом месяце.
Атаки, которые принимают форму фишинговых электронных писем, были нацелены на испаноязычных пользователей в обрабатывающей промышленности, базирующейся в Северной Америке, сказал eSentire.
Blind Eagle (он же APT-C-36) - это финансово мотивированный злоумышленник, который имеет опыт организации кибератак на организации в Колумбии и Эквадоре с целью доставки разнообразных крыс, включая AsyncRAT, BitRAT, Lime RAT, njRAT, Remcos RAT и Quasar RAT.
Последние данные свидетельствуют о расширении зоны действия злоумышленника, а также об использовании фишинговых архивов RAR и BZ2 для активации цепочки заражения.
Защищенные паролем архивы RAR поставляются с вредоносным файлом Visual Basic Script (VBScript), который отвечает за сохранение в папке автозагрузки Windows и запуск Ande Loader, который, в свою очередь, загружает полезную нагрузку Remcos RAT.
В альтернативной последовательности атак, замеченной канадской фирмой по кибербезопасности, архив BZ2, содержащий файл VBScript, распространяется по ссылке Discord content delivery network (CDN). Вредоносная программа Ande Loader в данном случае удаляет njRAT вместо Remcos RAT.
"Субъект (ы) угрозы Blind Eagle использовал шифровальщики, написанные Roda и Pjoao1578", - сказал эСентайр. "Один из шифровальщиков, разработанных Roda, имеет жестко запрограммированный сервер, на котором размещены оба инжекторных компонента шифровальщика и дополнительное вредоносное ПО, которое использовалось в кампании Blind Eagle".
Разработка происходит после того, как SonicWall пролил свет на внутреннюю работу другого семейства вредоносных программ-загрузчиков под названием DBatLoader, подробно описав использование им легитимного, но уязвимого драйвера, связанного с антивирусным программным обеспечением RogueKiller (truesight.sys) для отключения решений безопасности в рамках атаки "Принеси свой собственный уязвимый драйвер" (BYOVD) и, в конечном итоге, для обеспечения RAT Remco.
"Вредоносное ПО поступает в архиве в виде вложения электронной почты и является сильно запутанным, содержит несколько уровней шифрования данных", - отметила компания ранее в этом месяце.
