Ande Loader Kötü Amaçlı Yazılım Kuzey Amerika'daki Üretim Sektörünü Hedefliyor
Blind Eagle olarak bilinen tehdit aktörünün, Remcos, RAT ve NjRAT gibi uzaktan erişim truva atları (RAT'ler) sağlamak için Ande Loader adlı bir yükleyici kötü amaçlı yazılım kullandığı gözlemlendi.
eSentire, kimlik avı e-postaları şeklini alan saldırıların, Kuzey Amerika merkezli imalat endüstrisindeki İspanyolca konuşan kullanıcıları hedef aldığını söyledi.
Blind Eagle (diğer adıyla APT-C-36), Kolombiya ve Ekvador'daki kuruluşlara karşı siber saldırılar düzenleyerek AsyncRAT, BitRAT, Lime RAT, NjRAT, Remcos RAT ve Quasar RAT dahil olmak üzere çeşitli RAT'ler sunma geçmişine sahip, finansal olarak motive olmuş bir tehdit aktörüdür.
En son bulgular, tehdit aktörünün hedefleme ayak izinin genişlediğine işaret ederken, aynı zamanda enfeksiyon zincirini etkinleştirmek için RAR ve BZ2 arşivlerini taşıyan kimlik avı e-postalarından da yararlanıyor.
Parola korumalı RAR arşivleri, Windows Başlangıç klasöründe kalıcılık sağlamaktan ve sırayla Remcos RAT yükünü yükleyen Ande Yükleyicisini başlatmaktan sorumlu olan kötü amaçlı bir Visual Basic Script (VBScript) dosyasıyla birlikte gelir.
Kanadalı siber güvenlik firması tarafından gözlemlenen alternatif bir saldırı dizisinde, bir VBScript dosyası içeren bir BZ2 arşivi, bir Discord içerik dağıtım ağı (CDN) bağlantısı aracılığıyla dağıtılır. Ande Loader kötü amaçlı yazılımı, bu durumda, Remcos RAT yerine NjRAT'ı bırakır.
eSentire, "Blind Eagle tehdit aktörü/aktörleri, Roda ve Pjoao1578 tarafından yazılan kriptolayıcıları kullanıyor" dedi. "Roda tarafından geliştirilen kriptolayıcılardan biri, hem şifreleyicinin enjektör bileşenlerini hem de Blind Eagle kampanyasında kullanılan ek kötü amaçlı yazılımları barındıran sabit kodlanmış sunucuya sahip."
Gelişme, SonicWall'un DBatLoader adlı başka bir yükleyici kötü amaçlı yazılım ailesinin iç işleyişine ışık tuttuğu ve RogueKiller AntiMalware yazılımı (truesight.sys) ile ilişkili meşru ancak savunmasız bir sürücünün kullanımını detaylandırdığı için geliyor.
Şirket, bu ayın başlarında, "Kötü amaçlı yazılım, bir e-posta eki olarak bir arşiv içinde alınır ve çok sayıda şifreleme verisi katmanı içeren, oldukça gizlenmiştir" dedi.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı