Blind Eagle атакует производственные предприятия Северной Америки

Киберпреступная группировка, известная под названием Blind Eagle (Слепой Орёл), активизировала свои атаки на пользователей, говорящих на испанском языке, и работающих в производственной отрасли Северной Америки.

Для распространения вредоносного программного обеспечения хакеры используют новый тип загрузчика под названием Ande Loader. Цель этих атак — доставка троянов удалённого доступа (RAT), включая такие известные экземпляры, как Remcos и NjRAT.

По информации канадской ИБ-компании eSentire, киберпреступники применяют метод фишинговых писем, содержащих архивы RAR и BZ2, что является ключом к активации вредоносной цепочки. Защищённые паролем архивы содержат файл Visual Basic Script (VBScript), который обеспечивает постоянство вредоносного ПО в целевой системе и запускает Ande Loader. Загрузчик, в свою очередь, активирует троян Remcos RAT.

В альтернативном варианте атаки, зафиксированном специалистами, злоумышленники используют Discord-ссылку для распространения архива BZ2, который запускает Ande Loader для доставки NjRAT вместо Remcos RAT.

Компания eSentire отмечает, что группа Blind Eagle использует специальные шифровальщики (криптеры) для маскировки вредоносных компонентов, написанные хакерами под псевдонимами Roda и Pjoao1578. Среди таких шифровальщиков исследователи отмечают программы FuckCrypt и UpCry.

Криптер для обхода систем безопасности

Таким образом, группировка Blind Eagle продемонстрировала расширение своей географии атак и усовершенствование методов доставки вредоносных программ, нацеленных на промышленные предприятия, активно используя сложные методы обхода защитных механизмов.

Чтобы избежать подобных атак, компаниям необходимо внедрять многоуровневые средства защиты, включая продвинутые решения для мониторинга конечных точек, сетевого трафика и облачной активности.

Кроме того, крайне важно регулярно проводить обучение сотрудников по кибербезопасности, чтобы противостоять социальной инженерии и фишинговым атакам, которые часто являются начальной точкой вторжения.

Только комплексный подход к кибербезопасности, объединяющий средства защиты, мониторинг и повышение осведомлённости, может обеспечить устойчивость предприятий к современным киберугрозам.