Un actor de amenazas previamente indocumentado ha sido vinculado a un ciberataque dirigido a una organización aeroespacial en los EE. UU. como parte de lo que se sospecha que es una misión de ciberespionaje.
El equipo de Investigación e Inteligencia de Amenazas de BlackBerry está rastreando el grupo de actividad como aeroblade. Actualmente se desconoce su origen y no está claro si el ataque tuvo éxito.
«El actor utilizó el phishing como mecanismo de entrega: un documento armado, enviado como un archivo adjunto de correo electrónico, contiene una técnica de inyección de plantilla remota incorporada y un código macro VBA malicioso, para entregar la siguiente etapa a la ejecución final de la carga útil», dijo la compañía. dicho en un análisis publicado la semana pasada.
Aprenda a detectar amenazas internas con estrategias de respuesta de aplicaciones
Descubra cómo la detección de aplicaciones, la respuesta y el modelado de comportamiento automatizado pueden revolucionar su defensa contra amenazas internas.
Se dice que la infraestructura de red utilizada para el ataque entró en funcionamiento alrededor de septiembre de 2022, y la fase ofensiva de la intrusión ocurrió casi un año después, en julio de 2023, pero no antes de que el adversario tomara medidas para improvisar su conjunto de herramientas para hacerlo más sigiloso en el período de tiempo intermedio.
El ataque inicial, que tuvo lugar en septiembre de 2022, comenzó con un correo electrónico de phishing que contenía un archivo adjunto de Microsoft Word que, al abrirse, utilizaba una técnica llamada inyección remota de plantilla para recuperar una carga útil de la siguiente etapa que se ejecuta después de que la víctima habilita macros.
La cadena de ataque finalmente condujo a la implementación de una biblioteca de enlaces dinámicos (DLL) que funciona como un shell inverso, conectándose a un servidor de comando y control (C2) codificado y transmitiendo información del sistema a los atacantes.
Las capacidades de recopilación de información también incluyen enumerar la lista completa de directorios en el host infectado, lo que indica que esto podría ser un esfuerzo de reconocimiento llevado a cabo para ver si la máquina alberga datos valiosos y ayudar a sus operadores a diseñar estrategias para sus próximos pasos.
«Los shells inversos permiten a los atacantes abrir puertos a las máquinas objetivo, forzando la comunicación y permitiendo una toma completa del dispositivo», dijo Dmitry Bestuzhev, director senior de inteligencia de amenazas cibernéticas de BlackBerry. «Se trata, por tanto, de una grave amenaza a la seguridad».
La DLL muy ofuscada también viene equipada con técnicas antianálisis y antidesmontaje para dificultar su detección y desmontaje, al tiempo que omite la ejecución en entornos sandbox. La persistencia se logra mediante un Programador de tareas, en el que se crea una tarea llamada «WinUpdate2» para ejecutarse todos los días a las 10:10 am.
«Durante el tiempo que transcurrió entre las dos campañas que observamos, el actor de amenazas puso un esfuerzo considerable en desarrollar recursos adicionales para garantizar que pudieran asegurar el acceso a la información buscada y que pudieran exfiltrarla con éxito», dijo Bestuzhev.