Команда исследователей BlackBerryвыявила две кибератаки, осуществленные неизвестной ранее группировкой с кодовым названием AeroBlade. Их целью стала одна из ведущих компаний американской аэрокосмической отрасли. Первая фаза атаки произошла в сентябре 2022 года и, судя по всему, служила своеобразной “репетицией”. Вторая была зафиксирована в июле 2023 года.
В обеих кампаниях было использовано множество общих методик:
1. Документы-приманки имели обозначение “[скрыто].docx”.
2. Итоговой целью атаки становился обратный шелл.
3. IP-адрес командно-контрольного сервера (C2) оставался неизменным.
Однако существуют и ключевые отличия:
1. В атаке 2023 года конечная нагрузка была более скрытной, применялись дополнительные методы затруднения анализа.
2. В нагрузке 2023 года появилась функция, позволяющая перечислять директории на зараженных компьютерах.
Атака начинается с фишинговой рассылки, распространяющей вредоносный документ Microsoft Word под названием “[скрыто].docx”. При его открытии жертва видит текст, написанный неразборчивым шрифтом, и сообщение с просьбой активировать содержимое для просмотра в MS Office. Активация приводит к скачиванию второго этапа атаки – файла “[скрыто].dotm”.
Документ в формате.docx, полученный жертвой, применяет технику remote template injection (по классификации MITRE ATT&CK, код T1221), чтобы инициировать вторую стадию заражения. Эта техника позволяет злоумышленнику внедрять вредоносную программу в документ через удаленный шаблон.
После открытия и активации документа.docx, скрытый.dotm автоматически загружается на компьютер. .dotm является шаблоном Microsoft Word, который включает в себя специфические настройки и макросы.
На втором этапе атаки угрозу представляют сами макросы. Они выполняют две ключевые функции: во-первых, они запускают библиотеку, встроенную в документ, полученный на первой стадии. Во-вторых, копируют его в заранее определенное место на жестком диске жертвы.
Конечная нагрузка – это DLL-файл, действующий как обратный шелл, подключающийся к серверу C2. Он позволяет открывать порты на целевых устройствах, обеспечивая полный контроль над ними. DLL также способен перечислять все директории на инфицированной системе и использует сложные методы обфускации и защиты от обнаружения.
Исследователи нашли два образца вредоносного ПО, датируемых серединой 2022 года, которые также являются обратными шеллами, указывающими на тот же IP-адрес, что и образцы 2023 года.
Усовершенствования инструментов, используемых этой группой, указывает на то, что она вела активную деятельность как минимум в течение года. Тем не менее, личности участников остаются неизвестными.
Учитывая высокий уровень сложности техник, применяемых хакерами, а также временные рамки атак, можно сделать вывод, что целью кампании был коммерческий кибершпионаж. Скорее всего, они стремились собрать информацию о внутренней структуре и ресурсах атакуемой организации, чтобы в будущем правильно рассчитать сумму выкупа и выявить рычаги влияния.