Um grupo de hackers de espionagem cibernética previamente desconhecido chamado 'AeroBlade' foi descoberto atacando organizações no setor aeroespacial dos Estados Unidos.
A campanha, descoberta pela BlackBerry, ocorreu em duas fases: uma onda de testes em setembro de 2022 e um ataque mais avançado em julho de 2023.
Os ataques usam spear-phishing com documentos armados para obter acesso inicial às redes corporativas, soltando um payload de shell reverso capaz de listar arquivos e furtar dados.
A BlackBerry avalia com média a alta confiança que o objetivo dos ataques foi a espionagem cibernética comercial, visando reunir informações valiosas.
Os primeiros ataques atribuídos à AeroBlade ocorreram em setembro de 2022, usando emails de phishing com um anexo de documento (docx) que emprega injeção de modelo remoto para baixar o arquivo DOTM da segunda fase.
A segunda fase executa macros maliciosas que criam um shell reverso no sistema do alvo, que se conecta ao servidor de comando e controle (C2) do invasor.
"Uma vez que a vítima abre o arquivo e o executa clicando manualmente na mensagem de isca 'Habilitar Conteúdo', o documento [redigido].dotm discretamente solta um novo arquivo no sistema e o abre", explica a BlackBerry.
"O documento recém-baixado é legível, levando a vítima a acreditar que o arquivo inicialmente recebido por e-mail é legítimo."
O payload de shell reverso é um DLL fortemente ofuscado que lista todos os diretórios no computador comprometido para ajudar seus operadores a planejar seus próximos passos no furto de dados.
O arquivo DLL possui mecanismos anti-análise, incluindo detecção de sandbox, codificação de string personalizada, proteção de desmontagem por meio de código morto e ofuscação de fluxo de controle, e hash de API para mascarar o abuso da função Windows.
O payload também estabelece persistência no sistema por meio do Windows Task Scheduler, adicionando uma tarefa chamada 'WinUpdate2', para que a presença nos dispositivos violados sobreviva ao reinício do sistema.
As amostras iniciais do payload DLL não possuíam a maioria dos mecanismos de evasão vistos nas amostras de 2023 e a capacidade de listar diretórios e exfiltrar dados.
Isso indica que os atores da ameaça continuam evoluindo suas ferramentas para ataques mais sofisticados, enquanto as tentativas de 2022 se concentravam mais em testar a cadeia de intrusão e infecção.
Em ambos os ataques, o payload final era um shell reverso conectando ao mesmo endereço IP C2, e os atores da ameaça usavam os mesmos documentos de isca na fase de phishing.
A BlackBerry não conseguiu determinar a origem do AeroBlade ou o objetivo preciso dos ataques.
Os pesquisadores especulam que a intenção era roubar dados para vendê-los, fornecê-los a concorrentes aeroespaciais internacionais ou usar as informações como alavanca para extorsão contra as vítimas.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...