Brother
Professional
- Messages
- 2,590
- Reaction score
- 533
- Points
- 113
Ранее недокументированное действующее лицо угрозы было связано с кибератакой, направленной против аэрокосмической организации в США, в рамках предположительно кибершпионажной миссии.
Команда BlackBerry по исследованию угроз и разведке отслеживает группу активности под названием "АэроБлейд"... В настоящее время его происхождение неизвестно, и неясно, была ли атака успешной.
"Злоумышленник использовал фишинг в качестве механизма доставки: вооруженный документ, отправленный в виде вложения электронной почты, содержит встроенную технику удаленного внедрения шаблонов и вредоносный код макрокоманды VBA для выполнения следующего этапа окончательной загрузки полезной нагрузки", - сообщила компания в анализе, опубликованном на прошлой неделе.
Говорят, что сетевая инфраструктура, использованная для атаки, заработала примерно в сентябре 2022 года, а наступательная фаза вторжения произошла почти год спустя, в июле 2023 года, но не раньше, чем противник предпринял шаги по импровизации своего набора инструментов, чтобы сделать его более скрытным за прошедший период времени.
Первоначальная атака, произошедшая в сентябре 2022 года, началась с фишингового электронного письма с вложением в Microsoft Word, при открытии которого использовалась техника, называемая удаленным внедрением шаблона, для извлечения полезной нагрузки следующего этапа, которая выполняется после того, как жертва включит макросы.
Цепочка атак в конечном итоге привела к развертыванию библиотеки динамических ссылок (DLL), которая функционирует как обратная оболочка, подключаясь к жестко запрограммированному серверу командования и управления (C2) и передавая системную информацию злоумышленникам.
Возможности сбора информации также включают перечисление полного списка каталогов на зараженном хосте, указывающего на то, что это может быть разведывательная операция, проводимая с целью выяснить, содержит ли машина какие-либо ценные данные, и помочь ее операторам в разработке стратегии их следующих шагов.
"Обратные оболочки позволяют злоумышленникам открывать порты к целевым машинам, нарушая связь и обеспечивая полный захват устройства", - сказал Дмитрий Бестужев, старший директор BlackBerry по разведке киберугроз. "Следовательно, это серьезная угроза безопасности".
Сильно запутанная библиотека DLL также оснащена методами антианализа и антидиссемблирования, что затрудняет ее обнаружение и разборку, а также позволяет избежать выполнения в изолированных средах. Сохранение достигается с помощью планировщика задач, в котором создается задача с именем "WinUpdate2" для запуска каждый день в 10:10 утра.
"В течение времени, прошедшего между двумя кампаниями, которые мы наблюдали, действующее лицо угрозы приложило значительные усилия для разработки дополнительных ресурсов, чтобы гарантировать, что они смогут обеспечить доступ к искомой информации и успешно ее отфильтровать", - сказал Бестужев.
Команда BlackBerry по исследованию угроз и разведке отслеживает группу активности под названием "АэроБлейд"... В настоящее время его происхождение неизвестно, и неясно, была ли атака успешной.
"Злоумышленник использовал фишинг в качестве механизма доставки: вооруженный документ, отправленный в виде вложения электронной почты, содержит встроенную технику удаленного внедрения шаблонов и вредоносный код макрокоманды VBA для выполнения следующего этапа окончательной загрузки полезной нагрузки", - сообщила компания в анализе, опубликованном на прошлой неделе.
Говорят, что сетевая инфраструктура, использованная для атаки, заработала примерно в сентябре 2022 года, а наступательная фаза вторжения произошла почти год спустя, в июле 2023 года, но не раньше, чем противник предпринял шаги по импровизации своего набора инструментов, чтобы сделать его более скрытным за прошедший период времени.
Первоначальная атака, произошедшая в сентябре 2022 года, началась с фишингового электронного письма с вложением в Microsoft Word, при открытии которого использовалась техника, называемая удаленным внедрением шаблона, для извлечения полезной нагрузки следующего этапа, которая выполняется после того, как жертва включит макросы.
Цепочка атак в конечном итоге привела к развертыванию библиотеки динамических ссылок (DLL), которая функционирует как обратная оболочка, подключаясь к жестко запрограммированному серверу командования и управления (C2) и передавая системную информацию злоумышленникам.
Возможности сбора информации также включают перечисление полного списка каталогов на зараженном хосте, указывающего на то, что это может быть разведывательная операция, проводимая с целью выяснить, содержит ли машина какие-либо ценные данные, и помочь ее операторам в разработке стратегии их следующих шагов.
"Обратные оболочки позволяют злоумышленникам открывать порты к целевым машинам, нарушая связь и обеспечивая полный захват устройства", - сказал Дмитрий Бестужев, старший директор BlackBerry по разведке киберугроз. "Следовательно, это серьезная угроза безопасности".
Сильно запутанная библиотека DLL также оснащена методами антианализа и антидиссемблирования, что затрудняет ее обнаружение и разборку, а также позволяет избежать выполнения в изолированных средах. Сохранение достигается с помощью планировщика задач, в котором создается задача с именем "WinUpdate2" для запуска каждый день в 10:10 утра.
"В течение времени, прошедшего между двумя кампаниями, которые мы наблюдали, действующее лицо угрозы приложило значительные усилия для разработки дополнительных ресурсов, чтобы гарантировать, что они смогут обеспечить доступ к искомой информации и успешно ее отфильтровать", - сказал Бестужев.
