Ande Loader 是一種惡意軟體,專門針對北美製造業,他通過受感染的電子郵件 附件資料傳播,一旦打開,就會在受害者的計算機上安裝惡意軟體,近而竊取受害者的敏感數據,首次發現此種惡意軟體於2023年11月被發現,他已被用於針對美國、加拿大和墨西哥的製造公司,此惡意軟體是由一個名為APT41的中國駭客組織開發的,曾召集多起針對政府和企業的攻擊。
加拿大網路安全公司觀察到的另一種攻擊序列中,包含VBScript 檔案的BZ2檔案透過 Discord內容交付網路連結進行分發,在這種情況下 Ande Loader 會丟棄 NjRAT 而不是 Remcos RAT
* NJrat : 主要感染媒介是網路釣魚攻擊和偷渡式下載但它也能透過受感染的USB隨身碟進行傳播,可以使用惡意軟體的命令和控制 (C2)軟體傳播方法的選擇。
* Remcos RAT : 通常透過網路釣魚攻擊進行部屬,可能崁入再偽裝成PDF的惡意ZIP檔案中,聲稱包含發票或訂單聚集進行在一步計畫。作為 RAT,命令與控制是 Remcos 的核心功能,惡意流量在路由至C2伺服器時會加密,攻擊者使用分散式DNS 為C2伺服器建立各種網域。
Ande Loader 惡意軟體常見的攻擊手法 :
使用魚叉式釣魚電子郵件傳播惡意附件,這些電子郵件通常偽裝成來自合法公司的電子郵件,例如供應商或客戶。
再受感染的網站上植入惡意連結,當受害者訪問這些網站時,他們會被重定向到惡意伺服器,從而下載 Ande Loader 。
利用漏洞軟體進行攻擊,近而利用軟體中的漏洞在受害者電腦上安裝。
若覺得您的電腦可能感染了 Ande Loader 可採取,斷開電腦與網際網路的連接、將電腦恢復到乾淨的備份狀態 !
以下提供一些 Ande Loader惡意軟體的具體指示器和技術(IOC),製造公司可以使用這些IOC來檢測和阻止。
惡意軟體文件名 : [ RANDOM_STRING ].exe
惡意軟體哈希值 : [ SHA256 HASH ]
惡意軟體C2 地址 : [ C2 DOMAIN ]
參考資料:
https://thehackernews.com/2024/03/ande-loader-malware-targets.html
https://gemini.google.com/app/818d9e4ee3ec6f7b
https://www.checkpoint.com/tw/cyber-hub/threat-prevention/what-is-malware/remcos-malwae/
https://www.checkpoint.com/tw/cyber-hub/threat-prevention/what-is-malware/what-is-njrat-malware/