Μια νέα ομάδα από hackers που ασχολούνται με την κυβερνοκατασκοπεία και ονομάζονται “AeroBlade“, στοχεύουν αεροδιαστημικές εταιρείες των Ηνωμένων Πολιτειών.
Οι νέες επιθέσεις ανακαλύφθηκαν από ερευνητές ασφαλείας της BlackBerry. Η καμπάνια εκτυλίχθηκε σε δύο φάσεις: ένα δοκιμαστικό κύμα τον Σεπτέμβριο του 2022 και μια πιο προηγμένη επίθεση τον Ιούλιο του 2023.
Οι επιθέσεις ξεκινούν με spear-phishing emails που περιέχουν κακόβουλα έγγραφα για την επίτευξη της αρχικής πρόσβασης στα εταιρικά δίκτυα. Αρχικά, εισάγεται ένα reverse-shell payload ικανό για καταχώριση αρχείων και κλοπή δεδομένων.
Η BlackBerry θεωρεί ότι στόχος των επιθέσεων ήταν η εμπορική κατασκοπεία στον κυβερνοχώρο, με στόχο τη συλλογή πολύτιμων πληροφοριών στον τομέα της αεροδιαστημικής.
Δείτε επίσης: Οι χάκερ Lazarus παραβιάζουν την αεροδιαστημική εταιρεία με το νέο LightlessCan malware
Περισσότερες λεπτομέρειες για την καμπάνια κυβερνοκατασκοπείας
Οι πρώτες επιθέσεις που αποδίδονται στους hackers AeroBlade σημειώθηκαν τον Σεπτέμβριο του 2022. Χρησιμοποιήθηκαν phishing emails με συνημμένο έγγραφο (docx) που χρησιμοποιεί remote template injection για τη λήψη ενός αρχείου DOTM δεύτερου σταδίου.
Το δεύτερο στάδιο εκτελεί κακόβουλες μακροεντολές που δημιουργούν ένα reverse shell στο σύστημα του στόχου, το οποίο συνδέεται με τον command and control (C2) server του εισβολέα.
“Μόλις το θύμα ανοίξει το αρχείο και το εκτελέσει κάνοντας κλικ στο “Enable Content“, το έγγραφο [redacted].dotm ρίχνει διακριτικά ένα νέο αρχείο στο σύστημα και το ανοίγει“, εξηγεί η BlackBerry.
“Το νέο έγγραφο είναι αναγνώσιμο, με αποτέλεσμα το θύμα να πιστεύει ότι το αρχείο που ελήφθη αρχικά μέσω email είναι νόμιμο“.
Το reverse shell payload είναι ένα obfuscated DLL που παραθέτει όλους τους καταλόγους στον παραβιασμένο υπολογιστή, ώστε να αποφασίσουν οι επιτιθέμενοι πώς θα συνεχίσουν με την κλοπή δεδομένων.
Το αρχείο DLL διαθέτει διάφορους μηχανισμούς που του επιτρέπουν να αποφύγει την ανάλυση (π.χ. ανίχνευση sandbox, custom string encoding, API hashing για την απόκρυψη κατάχρησης λειτουργιών των Windows και άλλα).
Δείτε επίσης: Κυβερνοεπίθεση στο ρωσικό σύστημα αεροπορικών κρατήσεων Leonardo
Το payload δημιουργεί, επίσης, persistence στο σύστημα μέσω του Windows Task Scheduler, προσθέτοντας ένα task με το όνομα “WinUpdate2“.
Στις πιο πρόσφατες επιθέσεις των hackers AeroBlade στους οργανισμούς αεροδιαστημικής, έχουν παρατηρηθεί κάποιες αλλαγές στα payloads και αλλού, που δείχνουν ότι οι φορείς απειλών βελτιώνουν τα εργαλεία τους για πιο εξελιγμένες επιθέσεις. Οι προσπάθειες του 2022 φαίνεται ότι επικεντρώθηκαν περισσότερο στη δοκιμή της διαδικασίας εισβολής και μόλυνσης.
Και στις δύο επιθέσεις, το τελικό payload ήταν ένα reverse shell που συνδέθηκε με την ίδια διεύθυνση C2 IP και οι φορείς απειλών χρησιμοποίησαν τα ίδια έγγραφα δέλεαρ στο στάδιο του phishing.
Η BlackBerry δεν μπόρεσε να προσδιορίσει την προέλευση των hackers AeroBlade ή τον ακριβή στόχο των επιθέσεων.
Οι ερευνητές εικάζουν ότι η πρόθεση ήταν να κλέψουν δεδομένα για να τα πουλήσουν ή να τα παράσχουν σε διεθνείς ανταγωνιστές της αεροδιαστημικής βιομηχανίας. Θα μπορούσαν βέβαια να κρατήσουν τα κλεμμένα δεδομένα για να εκβιάσουν τα θύματα και να ζητήσουν χρήματα.
O αεροδιαστημικός τομέας αποτελεί αγαπημένο στόχο των hackers. Στο παρελθόν, πολλές μεγάλες εταιρείες έχουν υπάρξει θύματα κυβερνοεπιθέσεων. Για παράδειγμα η Lockheed Martin έχει υποστεί επίθεση από ξένους hackers, με στόχο την κλοπή ευαίσθητων πληροφοριών. Επίσης, η Boeing είναι μια άλλη εταιρεία που έχει αντιμετωπίσει κυβερνοεπιθέσεις. Οι hackers προσπάθησαν να αποκτήσουν πρόσβαση σε πληροφορίες σχετικά με τα ερευνητικά της έργα. Επιπλέον, η Northrop Grumman, μια ακόμη μεγάλη εταιρεία στον αεροδιαστημικό τομέα, έχει αναφέρει περιπτώσεις κυβερνοεπιθέσεων που αποσκοπούσαν στην παραβίαση των συστημάτων ασφαλείας της.
Δείτε επίσης: Ιρανοί χάκερ παραβιάζουν τον αεροπορικό οργανισμό των ΗΠΑ μέσω σφαλμάτων Zoho, Fortinet
Επίσης, η General Dynamics, μια άλλη σημαντική εταιρεία στον αεροδιαστημικό τομέα, έχει αναφέρει περιπτώσεις κυβερνοεπιθέσεων που είχαν ως στόχο την παραβίαση των συστημάτων ασφαλείας της και την κλοπή πληροφοριών.
Τέλος, η Honeywell, μια εταιρεία που παράγει εξοπλισμό αεροπορίας και διαστήματος, δεν έχει ξεφύγει από τους hackers. Οι επιθέσεις αυτές είχαν ως στόχο την παραβίαση των συστημάτων ασφαλείας της εταιρείας και την κλοπή πληροφοριών σχετικά με την τεχνολογία και τα προϊόντα της.
Πηγή: www.bleepingcomputer.com
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/502612/aeroblade-hackers-stoxeuoun-aerodiastimikes-etaireies-ipa/&media=https://www.secnews.gr/wp-content/uploads/2023/12/αεροδιαστημικες-min.jpg&description=hackers που ασχολούνται με την κυβερνοκατασκοπεία και ονομάζονται "AeroBlade", στοχεύουν οργανισμούς στον αεροδιαστημικό τομέα των ΗΠΑ.){kind=link}