ABD’li bir havacılık şirketi yakın zamanda, araştırmacıların “AeroBlade” adını verdiği görünüşte yeni bir tehdit aktörü tarafından yürütülen, neredeyse bir yıl süren bir ticari siber casusluk kampanyasına maruz kaldı.
tarafından gerçekleştirilen yüksek riskli havacılık casusluğunun aksine büyük ulus devlet Ve fidye yazılımı grupları son yıllarda, bu son maç, geçen hafta Blackberry tarafından belgelendikarakteristik olarak eski bir komut dosyasını takip eder: kimlik avı tuzağı ve değiştirme, şablon ekleme, VBA makro kodu vb.
Eski şapka olmasına rağmen, test (Eylül 2022) ve uygulama aşamasına (Temmuz 2023) bölünmüş kampanya, kapsamlı anti-analiz korumaları sayesinde yılın büyük bir bölümünde tespit edilmeden kalmayı başardı.
Kampanyanın nihai başarısı ve erişilmiş olabilecek verilerin niteliği henüz bilinmiyor.
Word aracılığıyla Havacılık ve Uzay Casusluğu
Her iki saldırı da, daha önce olduğu gibi, kimlik avı e-postalarının içine gizlenmiş yem belgeleriyle başladı.
Eklere tıklandığında, şifreli metin içeren Microsoft Word belgeleri ortaya çıkıyordu. Belgelerde ayrıca şüpheli bir başlık da yer alıyordu: “BİR ŞEYLER YANLIŞ GİTTİ Belgeyi yüklemek için İçeriği etkinleştirin.”
Taklit etmek eski makro bildirimleri, yanlış bayrak, kurbanları tıklamaya ve farkında olmadan kötü amaçlı bir Microsoft Word şablonu (DOTM) dosyasını alıp çalıştırmaya teşvik etti. Şablonun içine okunaklı bir sahte belgenin yanı sıra ikinci aşama enfeksiyona ilişkin talimatlar da eklenmişti.
Bu zincirin sonundaki son yük, ters kabuk görevi gören bir dinamik bağlantı kitaplığı (DLL) dosyasıydı. Yük, sistem bilgilerini ve dizinlerini toplayıp sızdırdı ve Windows Görev Zamanlayıcı’da her sabah yerel saatle 10:10’da tetiklenecek bir görev oluşturarak kalıcılık sağladı.
Gizlilik Tekniklerinin Geliştirilmesi
AeroBlade, ilk “test” saldırısının ardından, yüküne yerleştirilmiş bir dizi daha gelişmiş gizlilik tekniğiyle gerçek anlamda geri döndü.
Grubun ayakta kalma gücü, en azından kısmen, örneğin bir sanal alan ortamının veya antivirüs yazılımının karakteristik işaretlerini titizlikle kontrol etme konusundaki ne kadar dikkatli olduğuna ve aynı zamanda kötü amaçlı kodunu gizlemek için kullandığı birçok yola atfedilebilir.
Örneğin, yürütülebilir dosya her dize için özel kodlamayı ve API karmasını kullandı. ÜfürümHash Windows işlevlerini nasıl kullandığını gizlemek için. Ayrıca, kontrol akışını gizleme, verileri koda ekleme ve ölü kodla yürütülen talimatların (yürütülen ancak sonucu programın geri kalanıyla hiçbir ilgisi olmayan kod) kullanılması gibi bir dizi sökme önleme tekniğiyle donatılmış olarak geldi. analistlerin dışında.
Vakayla ilgili tüm gerçekler göz önüne alındığında, araştırmacılar “bunun ticari bir siber casusluk kampanyası olduğu konusunda yüksek derecede bir güvenle” sonucuna vardılar. Amacı büyük ihtimalle hedefinin iç kaynakları üzerinde görünürlük kazanmak ve böylece bir saldırıya karşı duyarlılığını tartmaktı. gelecekteki fidye talebi.”