Nhóm tin tặc được gọi là Blind Eagle đã được quan sát thấy bằng cách sử dụng phần mềm độc hại loader có tên Ande Loader để cung cấp trojan truy cập từ xa (RAT) như Remcos, RAT và NjRAT.
Các cuộc tấn công, dưới dạng email lừa đảo, nhắm vào người dùng nói tiếng Tây Ban Nha trong ngành sản xuất có trụ sở tại Bắc Mỹ, eSentire cho biết.
Blind Eagle (hay còn gọi là APT-C-36) là một tác nhân đe dọa có động cơ tài chính có lịch sử dàn dựng các cuộc tấn công mạng chống lại các thực thể ở Colombia và Ecuador để cung cấp một loại RAT, bao gồm AsyncRAT, BitRAT, Lime RAT, NjRAT, Remcos RAT và Quasar RAT.
Những phát hiện mới nhất đánh dấu sự mở rộng dấu chân nhắm mục tiêu của tác nhân đe dọa, đồng thời tận dụng các kho lưu trữ RAR và BZ2 mang lừa đảo để kích hoạt chuỗi lây nhiễm.
Các kho lưu trữ RAR được bảo vệ bằng mật khẩu đi kèm với tệp Visual Basic Script (VBScript) độc hại chịu trách nhiệm thiết lập sự bền bỉ trong thư mục Khởi động Windows và khởi chạy Ande Loader, do đó, tải tải trọng Remcos RAT.
Trong một chuỗi tấn công thay thế được quan sát bởi công ty an ninh mạng Canada, một kho lưu trữ BZ2 chứa tệp VBScript được phân phối thông qua liên kết mạng phân phối nội dung Discord (CDN). Phần mềm độc hại Ande Loader, trong trường hợp này, bỏ NjRAT thay vì Remcos RAT.
"(Các) tác nhân đe dọa Blind Eagle đã sử dụng các crypter được viết bởi Roda và Pjoao1578," eSentire nói. "Một trong những crypter được phát triển bởi Roda có máy chủ mã hóa cứng lưu trữ cả các thành phần tiêm của crypter và phần mềm độc hại bổ sung đã được sử dụng trong chiến dịch Blind Eagle.
Sự phát triển này xuất hiện khi SonicWall làm sáng tỏ hoạt động bên trong của một họ phần mềm độc hại loader khác có tên DBatLoader, chi tiết việc sử dụng trình điều khiển hợp pháp nhưng dễ bị tổn thương liên quan đến phần mềm RogueKiller AntiMalware (truesight.sys) để chấm dứt phần mềm bảo mật như một phần của cuộc tấn công Mang trình điều khiển dễ bị tổn thương của riêng bạn (BYOVD) và cuối cùng cung cấp Remcos RAT.
"Phần mềm độc hại được nhận bên trong một kho lưu trữ dưới dạng tệp đính kèm email và bị xáo trộn cao, chứa nhiều lớp dữ liệu mã hóa", công ty lưu ý vào đầu tháng này.