05.12.2023 | AeroBlade: неизвестные шпионы нацелились на аэрокосмическую индустрию США |
Команда исследователей BlackBerry выявила две кибератаки, осуществленные неизвестной ранее группировкой с кодовым названием AeroBlade. Их целью стала одна из ведущих компаний американской аэрокосмической отрасли. Первая фаза атаки произошла в сентябре 2022 года и, судя по всему, служила своеобразной «репетицией». Вторая была зафиксирована в июле 2023 года. В обеих кампаниях было использовано множество общих методик: 1. Документы-приманки имели обозначение «[скрыто].docx». 2. Итоговой целью атаки становился обратный шелл. 3. IP-адрес командно-контрольного сервера (C2) оставался неизменным. Однако существуют и ключевые отличия: 1. В атаке 2023 года конечная нагрузка была более скрытной, применялись дополнительные методы затруднения анализа. 2. В нагрузке 2023 года появилась функция, позволяющая перечислять директории на зараженных компьютерах. Атака начинается с фишинговой рассылки, распространяющей вредоносный документ Microsoft Word под названием «[скрыто].docx». При его открытии жертва видит текст, написанный неразборчивым шрифтом, и сообщение с просьбой активировать содержимое для просмотра в MS Office. Активация приводит к скачиванию второго этапа атаки — файла «[скрыто].dotm». Документ в формате.docx, полученный жертвой, применяет технику remote template injection (по классификации MITRE ATT&CK, код T1221), чтобы инициировать вторую стадию заражения. Эта техника позволяет злоумышленнику внедрять вредоносную программу в документ через удаленный шаблон. После открытия и активации документа.docx, скрытый.dotm автоматически загружается на компьютер. .dotm является шаблоном Microsoft Word, который включает в себя специфические настройки и макросы. На втором этапе атаки угрозу представляют сами макросы. Они выполняют две ключевые функции: во-первых, они запускают библиотеку, встроенную в документ, полученный на первой стадии. Во-вторых, копируют его в заранее определенное место на жестком диске жертвы. Конечная нагрузка — это DLL-файл, действующий как обратный шелл, подключающийся к серверу C2. Он позволяет открывать порты на целевых устройствах, обеспечивая полный контроль над ними. DLL также способен перечислять все директории на инфицированной системе и использует сложные методы обфускации и защиты от обнаружения. Исследователи нашли два образца вредоносного ПО, датируемых серединой 2022 года, которые также являются обратными шеллами, указывающими на тот же IP-адрес, что и образцы 2023 года. Усовершенствования инструментов, используемых этой группой, указывает на то, что она вела активную деятельность как минимум в течение года. Тем не менее, личности участников остаются неизвестными. Учитывая высокий уровень сложности техник, применяемых хакерами, а также временные рамки атак, можно сделать вывод, что целью кампании был коммерческий кибершпионаж. Скорее всего, они стремились собрать информацию о внутренней структуре и ресурсах атакуемой организации, чтобы в будущем правильно рассчитать сумму выкупа и выявить рычаги влияния. |
Проверить безопасность сайта