Ande Loader 惡意軟體針對北美製造業

  Ande Loader 是一種惡意軟體，專門針對北美製造業，他通過受感染的電子郵件 附件資料傳播，一旦打開，就會在受害者的計算機上安裝惡意軟體，近而竊取受害者的敏感數據，首次發現此種惡意軟體於2023年11月被發現，他已被用於針對美國、加拿大和墨西哥的製造公司，此惡意軟體是由一個名為APT41的中國駭客組織開發的，曾召集多起針對政府和企業的攻擊。    加拿大網路安全公司觀察到的另一種攻擊序列中，包含VBScript 檔案的BZ2檔案透過 Discord內容交付網路連結進行分發，在這種情況下 Ande Loader 會丟棄 NjRAT 而不是 Remcos RAT   * NJrat : 主要感染媒介是網路釣魚攻擊和偷渡式下載但它也能透過受感染的USB隨身碟進行傳播，可以使用惡意軟體的命令和控制 (C2)軟體傳播方法的選擇。 * Remcos RAT : 通常透過網路釣魚攻擊進行部屬，可能崁入再偽裝成PDF的惡意ZIP檔案中，聲稱包含發票或訂單聚集進行在一步計畫。作為 RAT，命令與控制是 Remcos 的核心功能，惡意流量在路由至C2伺服器時會加密，攻擊者使用分散式DNS 為C2伺服器建立各種網域。   Ande Loader 惡意軟體常見的攻擊手法 : 使用魚叉式釣魚電子郵件傳播惡意附件，這些電子郵件通常偽裝成來自合法公司的電子郵件，例如供應商或客戶。 再受感染的網站上植入惡意連結，當受害者訪問這些網站時，他們會被重定向到惡意伺服器，從而下載 Ande Loader 。 利用漏洞軟體進行攻擊，近而利用軟體中的漏洞在受害者電腦上安裝。   若覺得您的電腦可能感染了 Ande Loader 可採取，斷開電腦與網際網路的連接、將電腦恢復到乾淨的備份狀態 !  以下提供一些 Ande Loader惡意軟體的具體指示器和技術(IOC)，製造公司可以使用這些IOC來檢測和阻止。 惡意軟體文件名 : [ RANDOM_STRING ].exe 惡意軟體哈希值 : [ SHA256 HASH ] 惡意軟體C2 地址 : [ C2 DOMAIN ]   參考資料: https://thehackernews.com/2024/03/ande-loader-malware-targets.html https://gemini.google.com/app/818d9e4ee3ec6f7b https://www.checkpoint.com/tw/cyber-hub/threat-prevention/what-is-malware/remcos-malwae/ https://www.checkpoint.com/tw/cyber-hub/threat-prevention/what-is-malware/what-is-njrat-malware/