Bir Amerikan havacılık şirketi, AeroBlade adı verilen ve hem rekabetçi hem de ticari siber casusluk yapmayı amaçladığı anlaşılan ticari bir siber casusluk kampanyasının hedefi oldu.
Tehdit aktörü, dağıtım mekanizması olarak hedef odaklı kimlik avını kullandı.
BlackBerry Tehdit Araştırma ve İstihbarat ekibine göre, e-posta eki olarak teslim edilen silaha dönüştürülmüş bir belgede, kötü amaçlı bir VBA makro kodunun yanı sıra yük yürütmenin bir sonraki aşamasını sağlamak için uzaktan şablon enjeksiyon mekanizması bulunduğu bildiriliyor.
AeroBlade Yürütme Zinciri
Kanıtlara göre saldırganın ağ altyapısı ve silah donanımı Eylül 2022 civarında aktif hale gelmiş gibi görünüyor.
Araştırmacılar, saldırının saldırı aşamasının orta ila yüksek güvenle Temmuz 2023’te gerçekleştiğini tahmin ediyor. Bu süre zarfında ağ altyapısı aynı kaldı ancak saldırganın araç seti arttı ve bu da onu daha gizli hale getirdi.
İki kampanya bulundu ve aralarında birkaç benzerlik vardı:
- Her iki yem belgesinin adı da “[redacted].docx.”
- Son yük ters kabuktur.
- Komuta ve kontrol (C2) sunucusu IP adresi aynıdır.
İki kampanya arasında birkaç fark vardı:
- Saldırının son yükü daha gizlidir ve daha fazla gizleme ve anti-analiz teknikleri kullanır.
- Kampanyanın son yükü, virüslü kurbanların dizinlerini listeleme seçeneğini içeriyor.
Dosya adını taşıyan kötü amaçlı bir belge eki içeren hedefli bir e-posta [redacted].docx bir enfeksiyonun ilk belirtisidir.
Belge açıldığında, kasıtlı olarak karıştırılmış bir yazı tipindeki metin ve potansiyel kurbanın Microsoft Office’teki içeriği etkinleştirmek için üzerine tıklamasını isteyen bir “cezbedici” mesaj gösteriliyor.
Bir sonraki aşamadaki bilgiler .dotm dosyası içindeki XML (eXtensible Markup Language) dosyasına kaydedilir. A.dotm dosyası, bir belgenin varsayılan düzenini, ayarlarını ve makrolarını içeren bir Microsoft Word belge şablonudur.
Kurban manuel olarak “İçeriği Etkinleştir” yem mesajını tıklayıp dosyayı açtığında, [redacted].dotm belgesi sisteme yeni bir dosya bırakır ve onu açar.
“Yeni indirilen belgenin okunabilir olması, kurbanın başlangıçta e-postayla aldığı dosyanın yasal olduğuna inanmasına neden oluyor. Aslında bu, kurbanın burnunun dibinde görünmez bir şekilde gerçekleştirilen klasik bir siber yem-değiştir” dedi araştırmacılar.
Makro aracılığıyla sistemde çalıştırılan yürütülebilir bir dosya, yürütmenin son aşaması olacaktır. Son yük, sabit kodlu bir C2 sunucusuna bağlanan ve ters kabuk işlevi gören bir DLL’dir. Saldırganlar, ters kabukların kullanımıyla iletişimi zorlayabilir ve açık bağlantı noktaları aracılığıyla hedef makinenin tam kontrolünü ele geçirebilir.
Yem mesajının içeriğine göre, her iki kampanyanın da hedefi bir Amerikan havacılık ve uzay kuruluşuydu. Amacı muhtemelen hedefinin potansiyel bir fidye talebine karşı savunmasızlığını değerlendirmek için iç kaynakları hakkında bilgi edinmekti.