Daha önce belgelenmemiş bir tehdit aktörünün, siber casusluk görevi olduğundan şüphelenilen bir şeyin parçası olarak ABD’deki bir havacılık kuruluşunu hedef alan bir siber saldırıyla bağlantısı olduğu ortaya çıktı.
BlackBerry Tehdit Araştırma ve İstihbarat ekibi etkinlik kümesini şu şekilde takip ediyor: AeroBlade. Kaynağı şu anda bilinmiyor ve saldırının başarılı olup olmadığı belli değil.
Şirket, “Oyuncu hedef odaklı kimlik avını bir dağıtım mekanizması olarak kullandı: E-posta eki olarak gönderilen, silah haline getirilmiş bir belge, son veri yükleme işleminin bir sonraki aşamasını sunmak için gömülü uzaktan şablon ekleme tekniği ve kötü amaçlı bir VBA makro kodu içeriyor.” Geçen hafta yayınlanan bir analizde söylendi.
Uygulama Yanıt Stratejileri ile İçeriden Tehdit Tespitini Öğrenin
Uygulama algılama, yanıt verme ve otomatik davranış modellemenin içeriden gelen tehditlere karşı savunmanızda nasıl devrim yaratabileceğini keşfedin.
Şimdi Katıl
Saldırı için kullanılan ağ altyapısının Eylül 2022 civarında yayına girdiği söyleniyor ve saldırının saldırı aşaması yaklaşık bir yıl sonra Temmuz 2023’te gerçekleşti, ancak düşmanın araç setini daha gizli hale getirmek için doğaçlama adımlar atmasından önce değil. aradaki zaman dilimi.
Eylül 2022’de gerçekleştirilen ilk saldırı, açıldığında kurban makroları etkinleştirdikten sonra yürütülen bir sonraki aşama yükünü almak için uzaktan şablon enjeksiyonu adı verilen bir teknik kullanan Microsoft Word ekini içeren bir kimlik avı e-postasıyla başladı.
Saldırı zinciri sonuçta ters kabuk işlevi gören, sabit kodlu bir komut ve kontrol (C2) sunucusuna bağlanan ve sistem bilgilerini saldırganlara ileten bir dinamik bağlantı kitaplığının (DLL) konuşlandırılmasına yol açtı.
Bilgi toplama yetenekleri aynı zamanda virüs bulaşmış ana bilgisayardaki dizinlerin tam listesinin numaralandırılmasını da içeriyor; bu da bunun, makinenin herhangi bir değerli veriyi barındırıp barındırmadığını görmek ve operatörlerin sonraki adımlarını planlamalarına yardımcı olmak için yürütülen bir keşif çalışması olabileceğini gösteriyor.
BlackBerry siber tehdit istihbaratı kıdemli direktörü Dmitry Bestuzhev, “Ters mermiler, saldırganların hedef makinelere bağlantı noktaları açmasına, iletişimi zorlamasına ve cihazın tamamen ele geçirilmesine olanak sağlamasına olanak tanıyor” dedi. “Dolayısıyla bu ciddi bir güvenlik tehdididir.”
Oldukça karmaşık bir yapıya sahip olan DLL ayrıca, algılamayı ve parçalara ayırmayı zorlaştırmak ve aynı zamanda korumalı alan ortamlarında yürütmeyi atlamak için anti-analiz ve anti-demontaj teknikleriyle donatılmıştır. Kalıcılık, her gün sabah 10:10’da çalışacak şekilde “WinUpdate2” adlı bir görevin oluşturulduğu Görev Zamanlayıcı aracılığıyla gerçekleştirilir.
Bestuzhev, “Gözlemlediğimiz iki kampanya arasında geçen süre boyunca tehdit aktörü, aranan bilgilere erişimi güvence altına almak ve bu bilgileri başarıyla sızdırabilmek için ek kaynaklar geliştirmek üzere önemli çaba harcadı” dedi.