Een voorheen ongedocumenteerde bedreigingsacteur is in verband gebracht met een cyberaanval gericht op een lucht- en ruimtevaartorganisatie in de VS als onderdeel van wat vermoedelijk een cyberspionagemissie is.
Het BlackBerry Threat Research and Intelligence-team volgt het activiteitencluster als Aeroblade. De oorsprong ervan is momenteel onbekend en het is niet duidelijk of de aanval succesvol was.
“De acteur gebruikte spear-phishing als leveringsmechanisme: een bewapend document, verzonden als e-mailbijlage, bevat een ingebedde techniek voor het injecteren van sjablonen op afstand en een kwaadaardige VBA-macrocode, om de volgende fase van de uiteindelijke uitvoering van de payload te leveren”, aldus het bedrijf. zei in een analyse die vorige week werd gepubliceerd.
De netwerkinfrastructuur die voor de aanval werd gebruikt, zou rond september 2022 live zijn gegaan, terwijl de offensieve fase van de inbraak bijna een jaar later plaatsvond, in juli 2023, maar niet voordat de tegenstander stappen ondernam om zijn toolset te improviseren om deze heimelijker te maken. de tussenliggende periode.
De eerste aanval, die plaatsvond in september 2022, begon met een phishing-e-mail met een Microsoft Word-bijlage die, wanneer deze werd geopend, een techniek gebruikte die remote template injection wordt genoemd om een payload in de volgende fase op te halen die wordt uitgevoerd nadat het slachtoffer macro’s heeft ingeschakeld.
De aanvalsketen leidde uiteindelijk tot de inzet van een dynamic-link bibliotheek (DLL) die functioneert als een omgekeerde shell, die verbinding maakt met een hardgecodeerde command-and-control (C2)-server en systeeminformatie naar de aanvallers verzendt.
De mogelijkheden voor het verzamelen van informatie omvatten ook het opsommen van de volledige lijst met mappen op de geïnfecteerde host, wat aangeeft dat dit een verkenningsinspanning zou kunnen zijn die wordt uitgevoerd om te zien of de machine waardevolle gegevens host en de operators te helpen bij het bepalen van hun volgende stappen.
“Reverse shells stellen aanvallers in staat poorten te openen naar de doelmachines, waardoor communicatie wordt geforceerd en een volledige overname van het apparaat mogelijk wordt gemaakt”, zegt Dmitry Bestuzhev, senior director cyber threat intelligence bij BlackBerry. “Het is daarom een ernstige bedreiging voor de veiligheid.”
De zwaar versluierde DLL is ook uitgerust met anti-analyse- en anti-demontagetechnieken om het detecteren en uit elkaar halen lastig te maken, terwijl de uitvoering in sandbox-omgevingen wordt overgeslagen. Persistentie wordt bereikt door middel van een Taakplanner, waarin een taak met de naam “WinUpdate2” wordt gemaakt die elke dag om 10:10 uur wordt uitgevoerd
“Gedurende de tijd die verstreek tussen de twee campagnes die we observeerden, heeft de dreigingsactoren aanzienlijke inspanningen geleverd om extra middelen te ontwikkelen om ervoor te zorgen dat ze de toegang tot de gezochte informatie konden veiligstellen en dat ze deze met succes konden exfiltreren”, zei Bestuzhev.
