Novos hackers AeroBlade miram o setor aeroespacial nos EUA
5 de Dezembro de 2023

Um grupo de hackers de espionagem cibernética previamente desconhecido chamado 'AeroBlade' foi descoberto atacando organizações no setor aeroespacial dos Estados Unidos.

A campanha, descoberta pela BlackBerry, ocorreu em duas fases: uma onda de testes em setembro de 2022 e um ataque mais avançado em julho de 2023.

Os ataques usam spear-phishing com documentos armados para obter acesso inicial às redes corporativas, soltando um payload de shell reverso capaz de listar arquivos e furtar dados.

A BlackBerry avalia com média a alta confiança que o objetivo dos ataques foi a espionagem cibernética comercial, visando reunir informações valiosas.

Os primeiros ataques atribuídos à AeroBlade ocorreram em setembro de 2022, usando emails de phishing com um anexo de documento (docx) que emprega injeção de modelo remoto para baixar o arquivo DOTM da segunda fase.

A segunda fase executa macros maliciosas que criam um shell reverso no sistema do alvo, que se conecta ao servidor de comando e controle (C2) do invasor.

"Uma vez que a vítima abre o arquivo e o executa clicando manualmente na mensagem de isca 'Habilitar Conteúdo', o documento [redigido].dotm discretamente solta um novo arquivo no sistema e o abre", explica a BlackBerry.

"O documento recém-baixado é legível, levando a vítima a acreditar que o arquivo inicialmente recebido por e-mail é legítimo."

O payload de shell reverso é um DLL fortemente ofuscado que lista todos os diretórios no computador comprometido para ajudar seus operadores a planejar seus próximos passos no furto de dados.

O arquivo DLL possui mecanismos anti-análise, incluindo detecção de sandbox, codificação de string personalizada, proteção de desmontagem por meio de código morto e ofuscação de fluxo de controle, e hash de API para mascarar o abuso da função Windows.

O payload também estabelece persistência no sistema por meio do Windows Task Scheduler, adicionando uma tarefa chamada 'WinUpdate2', para que a presença nos dispositivos violados sobreviva ao reinício do sistema.

As amostras iniciais do payload DLL não possuíam a maioria dos mecanismos de evasão vistos nas amostras de 2023 e a capacidade de listar diretórios e exfiltrar dados.

Isso indica que os atores da ameaça continuam evoluindo suas ferramentas para ataques mais sofisticados, enquanto as tentativas de 2022 se concentravam mais em testar a cadeia de intrusão e infecção.

Em ambos os ataques, o payload final era um shell reverso conectando ao mesmo endereço IP C2, e os atores da ameaça usavam os mesmos documentos de isca na fase de phishing.

A BlackBerry não conseguiu determinar a origem do AeroBlade ou o objetivo preciso dos ataques.

Os pesquisadores especulam que a intenção era roubar dados para vendê-los, fornecê-los a concorrentes aeroespaciais internacionais ou usar as informações como alavanca para extorsão contra as vítimas.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...