Ande ローダー マルウェア
Blind Eagle として識別されるサイバー脅威攻撃者は、Ande Loader というローダー マルウェアを使用して、 Remcos RATや NJ RAT などのリモート アクセス トロイの木馬 (RAT) を配布することが観察されています。これらの攻撃はフィッシングメールを通じて実行され、特に北米にある製造業に従事するスペイン語を話す個人を標的としていました。
Blind Eagle は APT-C-36 としても知られ、コロンビアとエクアドルの組織に対してサイバー攻撃を行った実績を持つ、金銭目的の攻撃者です。彼らの手口には、 AsyncRAT 、 BitRAT 、 Lime RAT 、 NjRAT 、 Remcos RAT 、 Quasar RATなどのさまざまな RAT の展開が含まれます。
Ande Loader マルウェアは複数の感染チェーンを介して配信される
脅威アクターの標的範囲の拡大は、感染プロセスを開始するためにフィッシングを満載した RAR および BZ2 アーカイブを使用する Ande Loader 攻撃操作で明らかです。
パスワードで保護された RAR アーカイブには、Windows スタートアップ フォルダー内での永続性を確立する悪意のある Visual Basic Script (VBScript) ファイルが含まれています。このファイルは Ande Loader の実行もトリガーし、その後 Remcos RAT ペイロードをロードします。
サイバーセキュリティ研究者が観察した別の攻撃シナリオでは、VBScript ファイルを格納した BZ2 アーカイブが Discord コンテンツ配信ネットワーク (CDN) リンクを通じて配布されます。この例では、Ande Loader マルウェアは Remcos RAT ではなく NjRAT をドロップします。
Blind Eagle の脅威アクターは、Roda と Pjoao1578 によって作成されたクリプターを利用しています。特に、Roda のクリプタの 1 つは、クリプタのインジェクタ コンポーネントと、Blind Eagle キャンペーンで利用された追加のマルウェアの両方をホストするハードコードされたサーバーを備えています。
RAT感染は壊滅的な結果をもたらす可能性がある
RAT は、被害者のコンピュータまたはネットワークに対する不正なアクセスと制御を提供するように設計された脅威的なソフトウェア プログラムです。これらの感染は、いくつかの理由により被害者に壊滅的な結果をもたらす可能性があります。
全体として、RAT 感染は個人、企業、組織に深刻な脅威をもたらし、経済的損失や風評被害から法的責任や国家安全保障のリスクに至るまで、潜在的な影響を及ぼします。これは、定期的なソフトウェア更新、ネットワーク監視、ユーザー教育、高度な脅威検出および軽減テクノロジーの導入など、堅牢なサイバーセキュリティ対策の重要性を強調しています。
