Un acteur malveillant jusqu’alors inconnu a été associé à une cyberattaque visant une organisation aérospatiale aux États-Unis dans le cadre de ce qui est soupçonné d’être une mission de cyberespionnage.
L’équipe BlackBerry Threat Research and Intelligence suit le cluster d’activité au fur et à mesure AéroBlade. Son origine est actuellement inconnue et il n’est pas clair si l’attaque a réussi.
« L’acteur a utilisé le spear phishing comme mécanisme de livraison : un document militarisé, envoyé sous forme de pièce jointe à un e-mail, contient une technique d’injection de modèle à distance intégrée et un code macro VBA malveillant, pour passer à l’étape suivante de l’exécution finale de la charge utile », a déclaré la société. dit dans une analyse publiée la semaine dernière.
Apprenez à détecter les menaces internes avec les stratégies de réponse des applications
Découvrez comment la détection des applications, la réponse et la modélisation automatisée du comportement peuvent révolutionner votre défense contre les menaces internes.
L’infrastructure réseau utilisée pour l’attaque aurait été mise en service vers septembre 2022, la phase offensive de l’intrusion ayant eu lieu près d’un an plus tard, en juillet 2023, mais pas avant que l’adversaire ait pris des mesures pour improviser son ensemble d’outils afin de le rendre plus furtif. la période intermédiaire.
L’attaque initiale, qui a eu lieu en septembre 2022, a commencé par un e-mail de phishing contenant une pièce jointe Microsoft Word qui, une fois ouverte, utilisait une technique appelée injection de modèle à distance pour récupérer une charge utile de l’étape suivante qui est exécutée après la victime active les macros.
La chaîne d’attaque a finalement conduit au déploiement d’une bibliothèque de liens dynamiques (DLL) qui fonctionne comme un shell inversé, se connectant à un serveur de commande et de contrôle (C2) codé en dur et transmettant les informations système aux attaquants.
Les capacités de collecte d’informations incluent également l’énumération de la liste complète des répertoires sur l’hôte infecté, indiquant qu’il pourrait s’agir d’un effort de reconnaissance effectué pour voir si la machine héberge des données précieuses et aider ses opérateurs à élaborer une stratégie pour leurs prochaines étapes.
« Les shells inversés permettent aux attaquants d’ouvrir des ports vers les machines cibles, forçant ainsi la communication et permettant une prise de contrôle complète de l’appareil », a déclaré Dmitry Bestuzhev, directeur principal du renseignement sur les cybermenaces chez BlackBerry. « Il s’agit donc d’une grave menace pour la sécurité. »
La DLL fortement obscurcie est également équipée de techniques d’anti-analyse et d’anti-démontage pour la rendre difficile à détecter et à démonter, tout en sautant l’exécution dans des environnements en bac à sable. La persistance est réalisée au moyen d’un planificateur de tâches, dans lequel une tâche nommée « WinUpdate2 » est créée pour s’exécuter tous les jours à 10h10.
« Pendant le temps qui s’est écoulé entre les deux campagnes que nous avons observées, les auteurs de la menace ont déployé des efforts considérables pour développer des ressources supplémentaires afin de s’assurer qu’ils pouvaient sécuriser l’accès aux informations recherchées et pouvoir les exfiltrer avec succès », a déclaré Bestoujev.