美国航空航天畛域被盯上 又一全新黑客组织 浮出水面
近日,一个名为 "AeroBlade "的全新网络特务黑客组织“浮出水面”。
BlackBerry公司发现该黑客组织以美国航空航天畛域的组织为指标,陆续动员了两次攻打:第一次性是在2022年9月的一次性测试浪潮,第二次是往年7月动员的一次性更初级别的攻打。
攻打应用了鱼叉式网络钓鱼和武器化文件成功对企业网络的初始访问,并投放能够列出文件和窃取数据的反向外壳有效载荷。
BlackBerry公司评价后以为,该黑客组织的攻打指标是商业网络特务优惠,旨在搜集有价值的消息,可信度为中高。
攻打优惠概略
AeroBlade 的初次攻打出当初 2022 年 9 月,它经常使用带有文档 (docx) 附件的钓鱼电子邮件,应用远程模板注入下载第二阶段的 DOTM 文件。
第二阶段执行恶意宏,在指标系统上创立反向外壳,并衔接到攻打者的命令和控制(C2)主机。
BlackBerry方面示意,一旦受益者经过手动点击 "启用内容 "诱惑消息关上并执行该文件,[redacted].dotm 文件就会审慎地向系统投放一个新文件并关上它。用户新下载的文件是可读的,这就能够让受益者置信最后经过电子邮件收到的文件是非法的。
反向外壳有效载荷是一个严重混杂的 DLL 文件,它会列出被入侵计算机上的一切目录,以协助操作员方案下一步的数据偷盗执行。
DLL 文件具备反剖析机制,包含沙箱检测、自定义字符串编码、经过死代码和控制流混杂提供反汇编包全,以及经过 API 散列覆盖 Windows 配置滥用。
该有效荷载还经过Windows义务调度程序在系统上树立耐久性,减少一个名为“WinUpdate2”的义务,因此在被破坏设备上的立足点在系统从新启动后依然存在。
早期的DLL有效载荷样本遗漏了2023样本中看到的大少数规避机制,以及列出目录和窃取数据的才干。
这标明要挟行为者在继续改良其工具,以实施更复杂的攻打,而 2022 年的尝试则更并重于测试入侵和感化链。
在这两次攻打中,最终有效载荷都是衔接到相反 C2 IP 地址的反向外壳,要挟者在网络钓鱼阶段经常使用了相反的诱惑文件。
但据钻研人员推测,其目的是窃取数据启动发售,将其提供应国内航空航天竞争对手,或应用这些消息对受益者启动巧取豪夺。