L’attore minaccioso conosciuto come Blind Eagle è stato osservato utilizzare un malware loader chiamato Ande Loader per consegnare trojan di accesso remoto (RAT) come Remcos RAT e NjRAT.
Gli attacchi, sotto forma di email di phishing, hanno preso di mira utenti di lingua spagnola nel settore manifatturiero con sede in Nord America, secondo quanto riferito da eSentire.
Blind Eagle (aka APT-C-36) è un attore minaccioso motivato finanziariamente che ha una storia di orchestrare attacchi informatici contro entità in Colombia ed Ecuador per consegnare una serie di RAT, tra cui AsyncRAT, BitRAT, Lime RAT, NjRAT, Remcos RAT e Quasar RAT.
Le ultime scoperte segnano un’espansione del campo di azione dell’attore minaccioso, utilizzando anche email di phishing contenenti archivi RAR e BZ2 per attivare la catena di infezione.
Gli archivi RAR protetti da password sono dotati di un file di script Visual Basic (VBScript) malevolo responsabile di stabilire la persistenza nella cartella di avvio di Windows e avviare l’Ande Loader, che a sua volta carica il payload di Remcos RAT.
In una sequenza di attacco alternativa osservata dalla società canadese di sicurezza informatica, un archivio BZ2 contenente un file VBScript viene distribuito tramite un link di rete di distribuzione contenuti (CDN) di Discord. Il malware Ande Loader, in questo caso, rilascia NjRAT anziché Remcos RAT.
Gli attori minacciosi di Blind Eagle hanno utilizzato crypter scritti da Roda e Pjoao1578,” ha detto eSentire. “Uno dei crypter sviluppati da Roda contiene il server codificato che ospita entrambi i componenti di iniezione del crypter e malware aggiuntivi utilizzati nella campagna di Blind Eagle.
Lo sviluppo giunge mentre SonicWall fa luce sulle dinamiche interne di un’altra famiglia di malware loader chiamata DBatLoader, dettagliando il suo utilizzo di un driver legittimo ma vulnerabile associato al software RogueKiller AntiMalware (truesight.sys) per terminare le soluzioni di sicurezza come parte di un attacco Bring Your Own Vulnerable Driver (BYOVD) e consegnare infine Remcos RAT.
Il malware è ricevuto all’interno di un archivio come allegato email ed è altamente offuscato, contenente più strati di dati di crittografia,” ha notato l’azienda all’inizio di questo mese.
