Yeni Tehdit Aktörü 'AeroBlade' ABD Havacılık ve Uzay Saldırılarında Ortaya Çıktı

Daha önce belgelenmemiş bir tehdit aktörü, siber casusluk görevi olduğundan şüphelenilen şeyin bir parçası olarak ABD'deki bir havacılık kuruluşunu hedef alan bir siber saldırıyla ilişkilendirildi.

BlackBerry Tehdit Araştırma ve İstihbarat ekibi, etkinlik kümesini AeroBlade olarak izliyor. Kaynağı şu anda bilinmiyor ve saldırının başarılı olup olmadığı belli değil.

Şirket, geçen hafta yayınlanan bir analizde, "Aktör, hedef odaklı kimlik avını bir dağıtım mekanizması olarak kullandı: E-posta eki olarak gönderilen silahlı bir belge, bir sonraki aşamayı nihai yük yürütmeye teslim etmek için gömülü bir uzaktan şablon enjeksiyon tekniği ve kötü amaçlı bir VBA makro kodu içeriyor" dedi.

Saldırı için kullanılan ağ altyapısının Eylül 2022 civarında yayına girdiği ve izinsiz girişin saldırı aşamasının yaklaşık bir yıl sonra Temmuz 2023'te gerçekleştiği, ancak düşmanın aradan geçen zaman diliminde araç setini daha gizli hale getirmek için doğaçlama adımlar atmasından önce olmadığı söyleniyor.

Eylül 2022'de gerçekleşen ilk saldırı, açıldığında, kurban makroları etkinleştirdikten sonra yürütülen bir sonraki aşama yükünü almak için uzaktan şablon enjeksiyonu adı verilen bir teknik kullanan bir Microsoft Word eki taşıyan bir kimlik avı e-postasıyla başladı.

Saldırı zinciri nihayetinde ters kabuk işlevi gören, sabit kodlanmış bir komut ve kontrol (C2) sunucusuna bağlanan ve sistem bilgilerini saldırganlara ileten bir dinamik bağlantı kitaplığının (DLL) konuşlandırılmasına yol açtı.

Bilgi toplama yetenekleri, virüslü ana bilgisayardaki dizinlerin tam listesinin numaralandırılmasını da içerir, bu da bunun, makinenin herhangi bir değerli veri barındırıp barındırmadığını görmek ve operatörlerinin sonraki adımlarını strateji oluşturmalarına yardımcı olmak için gerçekleştirilen bir keşif çabası olabileceğini gösterir.

BlackBerry'de siber tehdit istihbaratı kıdemli direktörü Dmitry Bestuzhev, "Ters mermiler, saldırganların hedef makinelere bağlantı noktaları açmasına, iletişimi zorlamasına ve cihazın tamamen ele geçirilmesini sağlamasına izin veriyor" dedi. "Bu nedenle ciddi bir güvenlik tehdididir."

Yoğun bir şekilde gizlenmiş DLL, korumalı ortamlarda yürütmeyi atlarken, algılamayı ve ayırmayı zorlaştırmak için anti-analiz ve demontaj teknikleriyle donatılmıştır. Kalıcılık, her gün saat 10:10'da çalışacak şekilde "WinUpdate2" adlı bir görevin oluşturulduğu bir Görev Zamanlayıcı aracılığıyla gerçekleştirilir.

Bestuzhev, "Gözlemlediğimiz iki kampanya arasında geçen süre boyunca, tehdit aktörü, aranan bilgilere erişimi güvence altına alabilmelerini ve başarılı bir şekilde sızdırabilmelerini sağlamak için ek kaynaklar geliştirmek için büyük çaba sarf etti" dedi.