Ερευνητές
ασφαλείας
αποκάλυψαν μια
μεγάλη hacking
εκστρατεία
με στόχο
αεροπορικές
εταιρείες
. Όλα ξεκίνησαν από την ανάλυση ενός trojan από τη Microsoft.
Στις 11 Μαΐου, η ομάδα
Microsoft Security Intelligence
δημοσίευσε ένα thread στο Twitter που περιέγραφε μια
εκστρατεία
που στόχευε τους “
τομείς της αεροδιαστημικής και των ταξιδιών με phishing
μηνύματα
που περιείχαν ένα loader, το οποίο στη συνέχεια εγκαθιστούσε στις
συσκευές
το
RevengeRAT ή AsyncRAT
“.
Δείτε επίσης:
Safe Links: Η νέα
προστασία
του Microsoft Teams κατά του phishing
Ο χειριστής αυτής της καμπάνιας χρησιμοποίησε την τεχνική του
email spoofing
ώστε τα emails να φαίνεται ότι προέρχονται από νόμιμους οργανισμούς. Τα emails περιείχαν ένα
αρχείο .PDF με έναν ενσωματωμένο σύνδεσμο,
που περιείχε ένα κακόβουλο VBScript. Στη συνέχεια, αυτό εγκαθιστούσε Trojan payloads στη μηχανή-στόχο.
Σύμφωνα με τη Microsoft, το κακόβουλο λογισμικό χρησιμοποιήθηκε για την
κατασκοπεία
θυμάτων
καθώς και για την
κλοπή δεδομένων
(credentials, screenshots, clipboard και webcam data).
Η ομάδα
ασφαλείας
της Microsoft παρακολουθούσε τη hacking
εκστρατεία
και τώρα, η
Cisco Talos
παρουσίασε και τα δικά της ευρήματα για τις
επιθέσεις
στις
αεροπορικές
εταιρείες
.
Οι ερευνητές της Cisco Talos,
Tiago Pereira και Vitor Ventura
, έκαναν μια
δημοσίευση
την Πέμπτη στην οποία μιλούν για την επίθεση, “
Operation Layover
“, η οποία φαίνεται να συνδέεται με επιτιθέμενο που δραστηριοποιείται τουλάχιστον από το 2013 και στοχεύει
αεροπορικές
εταιρείες
τουλάχιστον δύο χρόνια.
Δείτε επίσης:
Phishing: Εξακολουθεί να αποτελεί τον «εύκολο δρόμο» για
ransomware
επιθέσεις
Ο συγκεκριμένος επιτιθέμενος συνδέεται και με
επιθέσεις
σε άλλους τομείς.
Όσον αφορά στους στόχους στον κλάδο της αεροπορίας, τα δείγματα των κακόβουλων emails που βρήκαν οι ερευνητές ήταν παρόμοια με αυτά που έλαβε η Microsoft. Τα emails και τα συνημμένα .PDF σχετίζονταν με την
αεροπορία
, με αναφορές σε δρομολόγια πτήσεων, ιδιωτικά
αεροσκάφη
, ναύλωση, λεπτομέρειες φορτίου και άλλα.
Επιθέσεις
σε
αεροπορικές
εταιρείες
συνδέθηκαν με hacker από τη Νιγηρία
Με βάση passive DNS telemetry, η ομάδα πιστεύει ότι ο επιτιθέμενος βρίσκεται στη Νιγηρία.
Ο εγκληματίας ξεκίνησε χρησιμοποιώντας το off-the-shelf
CyberGate
malware. Το CyberGate αντικαταστάθηκε με το
AsyncRAT
στις πιο πρόσφατες
επιθέσεις
.
Το RevengeRAT και το AsyncRAT, ωστόσο, δεν είναι τα μόνα malware που χρησιμοποιούσε ο επιτιθέμενος από τη Νιγηρία για τις
επιθέσεις
σε
αεροπορικές
εταιρείες
. Ένα domain που εντοπίστηκε από την ερευνητική ομάδα δείχνει επίσης ότι ο χειριστής χρησιμοποιεί μια
παραλλαγή
του
njRAT
σε
κυβερνοεπιθέσεις
.
Δείτε επίσης:
Phishing: Χωρίς
εκπαίδευση
, ένας στους τρεις πέφτει θύμα επίθεσης
“
Οι
εγκληματίες
που εκτελούν μικρότερες
επιθέσεις
μπορούν να συνεχίσουν να τις κάνουν για μεγάλο χρονικό διάστημα χωρίς να γίνονται αντιληπτοί
“, λέει η Cisco Talos. Ωστόσο, σύμφωνα με τους ερευνητές, οι δραστηριότητές τους μπορεί να
δημιουργήσουν προβλήματα σε άλλους μεγάλους οργανισμούς.
Αυτοί είναι οι
εγκληματίες
που τροφοδοτούν την underground αγορά με credentials και
δεδομένα
που μπορούν να χρησιμοποιηθούν από μεγαλύτερες ομάδες για δραστηριότητες όπως το
big game hunting
.
Πηγή: ZDNet
Related Posts
Πατήστ
ε
εδώ
και ακολουθήστε το
TechWar.gr στο Google News
για να μάθετε πρώτοι όλες τις
ειδήσεις τεχνολογίας.
Επιθέσεις σε αεροπορικές εταιρείες συνδέθηκαν με hacker από τη Νιγηρία – O Efialtis
[…] εδώ Επιθέσεις σε αε&rho… για να διαβάσετε […]