Blind Eagleとして知られる脅威アクターが、北米の製造業をターゲットにしたフィッシングメールを通じて、Ande Loaderと呼ばれるローダーマルウェアを使用していることが観察された。このマルウェアは、Remcos RATやNjRATなどのリモートアクセストロイの木馬(RAT)を配信するために使用されている。攻撃は、スペイン語を話すユーザーを対象としており、eSentireによって報告された。
Blind Eagle(別名APT-C-36)は、コロンビアとエクアドルのエンティティに対するサイバー攻撃を行い、AsyncRAT、BitRAT、Lime RAT、NjRAT、Remcos RAT、Quasar RATなどの様々なRATを配信してきた歴史を持つ、金銭的な動機を持つ脅威アクターである。最新の発見は、脅威アクターのターゲット範囲の拡大を示しており、RARおよびBZ2アーカイブを含むフィッシングを利用して感染チェーンを活性化している。
RARアーカイブは、Windowsのスタートアップフォルダに永続性を確立し、Ande Loaderを起動するための悪意のあるVisual Basic Script(VBScript)ファイルを含んでいる。また、別の攻撃シーケンスでは、Discordのコンテンツ配信ネットワーク(CDN)リンクを介して配布されるBZ2アーカイブが観察され、この場合、Ande LoaderはRemcos RATではなくNjRATをドロップする。
Blind Eagleは、RodaおよびPjoao1578によって書かれた暗号化ツールを使用しており、Rodaによって開発された暗号化ツールの1つには、暗号化ツールのインジェクターコンポーネントとBlind Eagleキャンペーンで使用された追加のマルウェアをホストするサーバーがハードコードされている。
SonicWallは、DBatLoaderと呼ばれる別のローダーマルウェアファミリーの内部動作について明らかにし、RogueKiller AntiMalwareソフトウェア(truesight.sys)に関連する正当だが脆弱なドライバーを使用してセキュリティソフトウェアを終了させ、最終的にRemcos RATを配信するBring Your Own Vulnerable Driver(BYOVD)攻撃について詳述している。
【ニュース解説】
北米の製造業をターゲットにした新たなサイバー攻撃が観察されました。この攻撃は、Blind Eagleとして知られる脅威アクターによって実行されており、Ande Loaderと呼ばれるローダーマルウェアを使用しています。このマルウェアは、主にスペイン語を話すユーザーを狙い、Remcos RATやNjRATなどのリモートアクセストロイの木馬(RAT)を配信するために用いられています。
Blind Eagleは、これまでにもコロンビアやエクアドルでのサイバー攻撃を通じて、様々なRATを配信してきたことが知られています。今回の攻撃では、RARやBZ2アーカイブを含むフィッシングメールを利用し、感染チェーンを活性化させています。RARアーカイブには、Windowsのスタートアップフォルダに永続性を確立し、Ande Loaderを起動するための悪意のあるVisual Basic Script(VBScript)ファイルが含まれています。また、Discordのコンテンツ配信ネットワーク(CDN)リンクを介して配布されるBZ2アーカイブを通じて、NjRATをドロップする別の攻撃手法も観察されました。
この攻撃キャンペーンにおいて、Blind EagleはRodaおよびPjoao1578によって書かれた暗号化ツールを使用しています。これらのツールは、攻撃の検出を回避するためにマルウェアを暗号化し、隠蔽する役割を果たしています。
このような攻撃は、製造業におけるサイバーセキュリティの脅威を浮き彫りにしています。製造業は、生産ラインの自動化やデータ管理など、IT技術の導入が進んでいるため、サイバー攻撃による損害が甚大になる可能性があります。特に、RATを用いた攻撃は、機密情報の窃取やシステムの不正操作など、企業にとって重大なリスクをもたらします。
企業は、フィッシングメールに対する従業員の教育や、セキュリティソフトウェアの更新、不審な通信の監視など、複数の対策を講じることが重要です。また、攻撃の早期発見と対応を可能にするために、セキュリティインシデントへの対応計画を策定し、定期的な訓練を実施することも効果的です。
この攻撃は、サイバーセキュリティの重要性が高まっている現代において、企業が直面するリスクの一例を示しています。サイバー攻撃の手法は日々進化しており、企業は常に警戒を怠らず、最新の脅威情報に基づいた対策を講じる必要があります。
from Ande Loader Malware Targets Manufacturing Sector in North America.
