.png)
Ande Loader Kötü Amaçlı Yazılım Kuzey Amerika'daki Üretim Sektörünü Hedefliyor
Blind Eagle olarak bilinen tehdit aktörünün, Remcos, RAT ve NjRAT gibi uzaktan erişim truva atları (RAT'ler) sağlamak için Ande Loader adlı bir yükleyici kötü amaçlı yazılım kullandığı gözlemlendi.
eSentire, kimlik avı e-postaları şeklini alan saldırıların, Kuzey Amerika merkezli imalat endüstrisindeki İspanyolca konuşan kullanıcıları hedef aldığını söyledi.
Blind Eagle (diğer adıyla APT-C-36), Kolombiya ve Ekvador'daki kuruluşlara karşı siber saldırılar düzenleyerek AsyncRAT, BitRAT, Lime RAT, NjRAT, Remcos RAT ve Quasar RAT dahil olmak üzere çeşitli RAT'ler sunma geçmişine sahip, finansal olarak motive olmuş bir tehdit aktörüdür.
En son bulgular, tehdit aktörünün hedefleme ayak izinin genişlediğine işaret ederken, aynı zamanda enfeksiyon zincirini etkinleştirmek için RAR ve BZ2 arşivlerini taşıyan kimlik avı e-postalarından da yararlanıyor.
Parola korumalı RAR arşivleri, Windows Başlangıç klasöründe kalıcılık sağlamaktan ve sırayla Remcos RAT yükünü yükleyen Ande Yükleyicisini başlatmaktan sorumlu olan kötü amaçlı bir Visual Basic Script (VBScript) dosyasıyla birlikte gelir.
Kanadalı siber güvenlik firması tarafından gözlemlenen alternatif bir saldırı dizisinde, bir VBScript dosyası içeren bir BZ2 arşivi, bir Discord içerik dağıtım ağı (CDN) bağlantısı aracılığıyla dağıtılır. Ande Loader kötü amaçlı yazılımı, bu durumda, Remcos RAT yerine NjRAT'ı bırakır.
eSentire, "Blind Eagle tehdit aktörü/aktörleri, Roda ve Pjoao1578 tarafından yazılan kriptolayıcıları kullanıyor" dedi. "Roda tarafından geliştirilen kriptolayıcılardan biri, hem şifreleyicinin enjektör bileşenlerini hem de Blind Eagle kampanyasında kullanılan ek kötü amaçlı yazılımları barındıran sabit kodlanmış sunucuya sahip."
Gelişme, SonicWall'un DBatLoader adlı başka bir yükleyici kötü amaçlı yazılım ailesinin iç işleyişine ışık tuttuğu ve RogueKiller AntiMalware yazılımı (truesight.sys) ile ilişkili meşru ancak savunmasız bir sürücünün kullanımını detaylandırdığı için geliyor.
Şirket, bu ayın başlarında, "Kötü amaçlı yazılım, bir e-posta eki olarak bir arşiv içinde alınır ve çok sayıda şifreleme verisi katmanı içeren, oldukça gizlenmiştir" dedi.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Microsoft, zararlı içerik oluşturmak için Azure AI'den yararlanan bilgisayar korsanlığı grubuna dava açtı
RedDelta, Casusluk Kampanyalarında Moğolistan ve Tayvan'ı Hedef Almak için PlugX Kötü Amaçlı Yazılım Dağıtıyor
MirrorFace, Japonya'ya Yönelik Çok Yıllı Siber Saldırılarda ANEL ve NOOPDOOR'dan Yararlanıyor
Yeni EAGERBEE Varyantı, Gelişmiş Arka Kapı Yeteneklerine Sahip İSS'leri ve Hükümetleri Hedefliyor
CISA: Hazine Siber Saldırısından Daha Geniş Federal Etki Yok, Soruşturma Devam Ediyor
FireScam Android Kötü Amaçlı Yazılımı, Verileri Çalmak ve Cihazları Kontrol Etmek İçin Telegram Premium Gibi Görünüyor
Düzinelerce Chrome Uzantısı Hacklendi ve Milyonlarca Kullanıcıyı Veri Hırsızlığına Maruz Bıraktı
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı