Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Представляйте решения на онлайн-конференции!

AeroBlade: неизвестные шпионы нацелились на аэрокосмическую индустрию США

05/12/23

my-design-space-station-on-earth-orbit-the-satellite-has-severalcommunication-antenalso-it-maybe-spy-gps-satelite-stockpack-gettyimages-scaled

Команда исследователей BlackBerry выявила две кибератаки, осуществленные неизвестной ранее группировкой с кодовым названием AeroBlade. Их целью стала одна из ведущих компаний американской аэрокосмической отрасли. Первая фаза атаки произошла в сентябре 2022 года и, судя по всему, служила своеобразной «репетицией». Вторая была зафиксирована в июле 2023 года, пишет Securitylab.

В обеих кампаниях было использовано множество общих методик:

  1. 1Документы-приманки имели обозначение «[скрыто].docx».
  2. Итоговой целью атаки становился обратный шелл.
  3. IP-адрес командно-контрольного сервера (C2) оставался неизменным.

Однако существуют и ключевые отличия:

  1. В атаке 2023 года конечная нагрузка была более скрытной, применялись дополнительные методы затруднения анализа.
  2. В нагрузке 2023 года появилась функция, позволяющая перечислять директории на зараженных компьютерах.

Атака начинается с фишинговой рассылки, распространяющей вредоносный документ Microsoft Word под названием «[скрыто].docx». При его открытии жертва видит текст, написанный неразборчивым шрифтом, и сообщение с просьбой активировать содержимое для просмотра в MS Office. Активация приводит к скачиванию второго этапа атаки — файла «[скрыто].dotm».

Документ в формате.docx, полученный жертвой, применяет технику remote template injection (по классификации MITRE ATT&CK, код T1221), чтобы инициировать вторую стадию заражения. Эта техника позволяет злоумышленнику внедрять вредоносную программу в документ через удаленный шаблон.

После открытия и активации документа.docx, скрытый.dotm автоматически загружается на компьютер. .dotm является шаблоном Microsoft Word, который включает в себя специфические настройки и макросы.

На втором этапе атаки угрозу представляют сами макросы. Они выполняют две ключевые функции: во-первых, они запускают библиотеку, встроенную в документ, полученный на первой стадии. Во-вторых, копируют его в заранее определенное место на жестком диске жертвы.

Конечная нагрузка — это DLL-файл, действующий как обратный шелл, подключающийся к серверу C2. Он позволяет открывать порты на целевых устройствах, обеспечивая полный контроль над ними. DLL также способен перечислять все директории на инфицированной системе и использует сложные методы обфускации и защиты от обнаружения.

Исследователи нашли два образца вредоносного ПО, датируемых серединой 2022 года, которые также являются обратными шеллами, указывающими на тот же IP-адрес, что и образцы 2023 года.

Усовершенствования инструментов, используемых этой группой, указывает на то, что она вела активную деятельность как минимум в течение года. Тем не менее, личности участников остаются неизвестными.

Учитывая высокий уровень сложности техник, применяемых хакерами, а также временные рамки атак, можно сделать вывод, что целью кампании был коммерческий кибершпионаж. Скорее всего, они стремились собрать информацию о внутренней структуре и ресурсах атакуемой организации, чтобы в будущем правильно рассчитать сумму выкупа и выявить рычаги влияния.

Темы:СШАBlackberryПреступлениякибершпионажкосмическая отрасль
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...