Кибератаки срещу авиационната индустрия, свързани с нигерийския заплашител

Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Изследователите разкриха дългата кампания срещу авиационния сектор, започвайки с анализа на троянски коне от Microsoft.

На 11 май Microsoft Security Intelligence публикува Нишка в Twitter очертаване на кампания, насочена към „аерокосмическия и туристическия сектор с имейли с фиш-фишинг, които разпространяват активно разработен товарач, който след това доставя RevengeRAT или AsyncRAT“.

Операторът на тази кампания използва фалшифициране на имейли, за да се преструва, че е легитимна организация в тези индустрии, и прикачен .PDF файл включва вградена връзка, съдържаща злонамерен VBScript, който след това ще пусне троянски полезен товар на целевата машина.

Според Microsoft злонамереният софтуер е бил използван за шпиониране на жертви, както и за ексфилтриране на данни, включително идентификационни данни, екранни снимки, клипборд и данни от уеб камера.

Екипът по сигурността на Microsoft наблюдава кампанията и сега Cisco Talos също допринесе с констатациите си за операцията.

Публикувани са изследователите на Cisco Talos Тиаго Перейра и Витор Вентура публикация в блог в четвъртък документира схемата, наречена “Операция Layover”, която сега е свързана с участник, който е активен поне от 2013 г. – и е насочен към авиацията от поне две години.

В допълнение към разследването на Microsoft, компанията за киберсигурност е установила връзки между този участник в заплахата с кампании срещу други сектори, обхващащи през последните пет години.

Що се отнася до авиационните цели, примерни имейли, съдържащи злонамерени .PDF файлове, бяха много подобни на тези, получени от Microsoft. Имейлите и .PDF прикачените файлове са с авиационна тематика, като се споменават маршрути на пътуване, маршрути на полети, частни самолети, котировки, заявки за чартър, данни за товара и др.

Въз основа на пасивна DNS телеметрия, екипът смята, че действащият за заплахата се намира в Нигерия, поради 73% от IP адресите, свързани с хостове, домейни и като цяло атаките идват от тази страна. Изглежда, че псевдонимите включват дръжката „Nassief2018“ във хакерски форуми, както и псевдонимите „bodmas“ и „kimjoy“.

Киберпрестъпникът започна с използването на готовия зловреден софтуер CyberGate и не изглежда да е надхвърлял кода, който е наличен в търговската мрежа. Актьорът на заплахата има също са свързани да се криптер покупки от онлайн форуми, имейл адреси и телефонни номера, въпреки че тези констатации не са проверени.

Оттогава CyberGate е заменен с AsyncRAT в последните кампании, като са открити над 50 проби, които комуникират със сървъра за управление и управление (C2), използван от участника на заплахата. Към момента са открити още осем домена, свързани с внедряването на AsyncRAT, повечето от които са регистрирани през 2021 г.

RevengeRAT и AsyncRAT обаче не са единствените марки злонамерен софтуер, които се използват. Един домейн, забелязан от екипа, също показва, че операторът използва вариант на njRAT в кибератаки.

„Актьорите, които извършват по -малки атаки, могат да продължат да ги извършват за дълъг период от време под радара“, казва Сиско Талос. “Въпреки това, техните дейности могат да доведат до големи инциденти в големи организации. Това са участниците, които захранват подземния пазар на идентификационни данни и бисквитки, които след това могат да бъдат използвани от по -големи групи за дейности като лов на едър дивеч.”


Имате бакшиш? | Сигнал на +447713 025 499 или повече в Keybase: charlie0




Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com


Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •