Ανακαλύφθηκε μια μέχρι πρό
τι
νος άγνωστη ομάδα πειρατείας κυβερνοκατασκοπείας με την ονομασία «AeroBlade» με στόχο οργανώσεις στον αεροδιαστημικό τομέα των Ηνωμένων Πολιτειών.
Η
καμπάνια
, που ανακαλύφθηκε από την BlackBerry, εκτυλίχθηκε σε δύο φάσεις: ένα δοκιμαστικό κύμα τον Σεπτέμβριο του 2022 και μια πιο προηγμένη επίθεση τον Ιούλιο του 2023.
Οι επιθέσεις χρησιμοποιούν spear-phishing με οπλισμένα έγγραφα για την επίτευξη αρχικής πρόσβασης στα εταιρικά δίκτυα, ρίχνοντας ένα ωφέλιμο φορτίο αντίστροφου κελύφους ικανό για καταχώριση αρχείων και κλοπή δεδομένων.
Η BlackBerry αξιολογεί με μέτρια έως υψηλή σιγουριά ότι στόχος των επιθέσεων ήταν η εμπορική κατασκοπεία στον κυβερνοχώρο, με στόχο τη συλλογή πολύτιμων πληροφοριών.
Λεπτομέρειες καμπάνιας
Οι πρώτες επιθέσεις που αποδίδονται στην AeroBlade σημειώθηκαν τον Σεπτέμβριο του 2022, χρησιμοποιώντας μηνύματα ηλεκτρονικού ψαρέματος με συνημμένο έγγραφο (docx) που χρησιμοποιεί απομακρυσμένη έγχυση προτύπου για τη λήψη του αρχείου DOTM δεύτερου σταδίου.
Το δεύτερο στάδιο εκτελεί κακόβουλες μακροεντολές που δημιουργούν ένα αντίστροφο κέλυφος στο σύστημα του στόχου, το οποίο συνδέεται με τον διακομιστή εντολών και ελέγχου (C2) του εισβολέα.
Έγγραφο δόλωμα που εμφανίζεται στο θύμα
Πηγή: BlackBerry
“Μόλις το θύμα ανοίξει το αρχείο και το εκτελέσει κάνοντας χειροκίνητο κλικ στο μήνυμα δέλεαρ “Ενεργοποίηση περιεχομένου”, το [redacted]Το έγγραφο .dotm ρίχνει διακριτικά ένα νέο αρχείο στο σύστημα και το ανοίγει.”
εξηγεί η BlackBerry
.
“Το έγγραφο που λήφθηκε πρόσφατα είναι αναγνώσιμο, με αποτέλεσμα το θύμα να πιστεύει ότι το αρχείο που ελήφθη αρχικά μέσω email είναι νόμιμο.”
Η αλυσίδα επίθεσης της AeroBlade
Πηγή: BlackBerry
Το αντίστροφο ωφέλιμο φορτίο κελύφους είναι ένα βαριά ασαφές DLL που παραθέτει όλους τους καταλόγους στον υπολογιστή που έχει παραβιαστεί για να βοηθήσει τους χειριστές του να σχεδιάσουν τα επόμενα βήματά τους στην κλοπή δεδομένων.
Το αρχείο DLL διαθέτει μηχανισμούς αντι-ανάλυσης, όπως ανίχνευση sandbox, προσαρμοσμένη κωδικοποίηση συμβολοσειρών, προστασία αποσυναρμολόγησης μέσω νεκρού κώδικα και συσκότισης ροής ελέγχου και κατακερματισμό API για την απόκρυψη κατάχρησης λειτουργιών των Windows.
Το ωφέλιμο φορτίο δημιουργεί επίσης σταθερότητα στο σύστημα μέσω του Προγραμματιστή εργασιών των Windows, προσθέτοντας μια εργασία με το όνομα “WinUpdate2”, έτσι ώστε η βάση σε
συσκευές
που έχουν παραβιαστεί να επιβιώνει από την επανεκκίνηση του συστήματος.
Τα πρώτα δείγματα του ωφέλιμου φορτίου DLL έχασαν τους περισσότερους μηχανισμούς φοροδιαφυγής που παρατηρήθηκαν στα δείγματα του 2023 και τη δυνατότητα καταχώρισης καταλόγων και εξ
αγωγή
ς δεδομένων.
Αυτό δείχνει ότι οι φορείς απειλών συνεχίζουν να εξελίσσουν τα εργαλεία τους για πιο εξελιγμένες επιθέσεις, ενώ οι προσπάθειες του 2022 επικεντρώθηκαν περισσότερο στη δοκιμή της αλυσίδας εισβολής και μόλυνσης.
Και
στις δύο επιθέσεις, το τελικό ωφέλιμο φορτίο ήταν ένα αντίστροφο κέλυφος που συνδέθηκε με την ίδια διεύθυνση IP C2 και οι φορείς απειλών χρησιμοποίησαν τα ίδια έγγραφα δέλεαρ στο στάδιο του phishing.
Η BlackBerry δεν μπόρεσε να προσδιορίσει την προέλευση του AeroBlade ή τον ακριβή στόχο των επιθέσεων.
Οι ερευνητές εικάζουν ότι η πρόθεση ήταν να κλέψουν δεδομένα για να τα πουλήσουν, να τα παράσχουν σε διεθνείς ανταγωνιστές της αεροδιαστημικής ή να χρησιμοποιήσουν τις πληροφορίες ως μοχλό εκβιασμού κατά των θυμάτων.
VIA:
bleepingcomputer.com