Yeni Tehdit Aktörü 'AeroBlade' ABD Havacılık ve Uzay Saldırılarında Ortaya Çıktı
Daha önce belgelenmemiş bir tehdit aktörü, siber casusluk görevi olduğundan şüphelenilen şeyin bir parçası olarak ABD'deki bir havacılık kuruluşunu hedef alan bir siber saldırıyla ilişkilendirildi.
BlackBerry Tehdit Araştırma ve İstihbarat ekibi, etkinlik kümesini AeroBlade olarak izliyor. Kaynağı şu anda bilinmiyor ve saldırının başarılı olup olmadığı belli değil.
Şirket, geçen hafta yayınlanan bir analizde, "Aktör, hedef odaklı kimlik avını bir dağıtım mekanizması olarak kullandı: E-posta eki olarak gönderilen silahlı bir belge, bir sonraki aşamayı nihai yük yürütmeye teslim etmek için gömülü bir uzaktan şablon enjeksiyon tekniği ve kötü amaçlı bir VBA makro kodu içeriyor" dedi.
Saldırı için kullanılan ağ altyapısının Eylül 2022 civarında yayına girdiği ve izinsiz girişin saldırı aşamasının yaklaşık bir yıl sonra Temmuz 2023'te gerçekleştiği, ancak düşmanın aradan geçen zaman diliminde araç setini daha gizli hale getirmek için doğaçlama adımlar atmasından önce olmadığı söyleniyor.
Eylül 2022'de gerçekleşen ilk saldırı, açıldığında, kurban makroları etkinleştirdikten sonra yürütülen bir sonraki aşama yükünü almak için uzaktan şablon enjeksiyonu adı verilen bir teknik kullanan bir Microsoft Word eki taşıyan bir kimlik avı e-postasıyla başladı.
Saldırı zinciri nihayetinde ters kabuk işlevi gören, sabit kodlanmış bir komut ve kontrol (C2) sunucusuna bağlanan ve sistem bilgilerini saldırganlara ileten bir dinamik bağlantı kitaplığının (DLL) konuşlandırılmasına yol açtı.
Bilgi toplama yetenekleri, virüslü ana bilgisayardaki dizinlerin tam listesinin numaralandırılmasını da içerir, bu da bunun, makinenin herhangi bir değerli veri barındırıp barındırmadığını görmek ve operatörlerinin sonraki adımlarını strateji oluşturmalarına yardımcı olmak için gerçekleştirilen bir keşif çabası olabileceğini gösterir.
BlackBerry'de siber tehdit istihbaratı kıdemli direktörü Dmitry Bestuzhev, "Ters mermiler, saldırganların hedef makinelere bağlantı noktaları açmasına, iletişimi zorlamasına ve cihazın tamamen ele geçirilmesini sağlamasına izin veriyor" dedi. "Bu nedenle ciddi bir güvenlik tehdididir."
Yoğun bir şekilde gizlenmiş DLL, korumalı ortamlarda yürütmeyi atlarken, algılamayı ve ayırmayı zorlaştırmak için anti-analiz ve demontaj teknikleriyle donatılmıştır. Kalıcılık, her gün saat 10:10'da çalışacak şekilde "WinUpdate2" adlı bir görevin oluşturulduğu bir Görev Zamanlayıcı aracılığıyla gerçekleştirilir.
Bestuzhev, "Gözlemlediğimiz iki kampanya arasında geçen süre boyunca, tehdit aktörü, aranan bilgilere erişimi güvence altına alabilmelerini ve başarılı bir şekilde sızdırabilmelerini sağlamak için ek kaynaklar geliştirmek için büyük çaba sarf etti" dedi.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı