近日，一個(gè)名為 "AeroBlade "的全新網(wǎng)絡(luò)間諜黑客組織“浮出水面”。

BlackBerry公司發(fā)現(xiàn)該黑客組織以美國(guó)航空航天領(lǐng)域的組織為目標(biāo)，陸續(xù)發(fā)起了兩次攻擊：第一次是在2022年9月的一次測(cè)試?yán)顺保诙问墙衲?月發(fā)起的一次更高級(jí)別的攻擊。

攻擊利用了魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)和武器化文件實(shí)現(xiàn)對(duì)企業(yè)網(wǎng)絡(luò)的初始訪問(wèn)，并投放能夠列出文件和竊取數(shù)據(jù)的反向外殼有效載荷。

BlackBerry公司評(píng)估后認(rèn)為，該黑客組織的攻擊目標(biāo)是商業(yè)網(wǎng)絡(luò)間諜活動(dòng)，旨在收集有價(jià)值的信息，可信度為中高。

攻擊活動(dòng)詳情

AeroBlade 的首次攻擊發(fā)生在 2022 年 9 月，它使用帶有文檔 (docx) 附件的釣魚(yú)電子郵件，利用遠(yuǎn)程模板注入下載第二階段的 DOTM 文件。

第二階段執(zhí)行惡意宏，在目標(biāo)系統(tǒng)上創(chuàng)建反向外殼，并連接到攻擊者的命令和控制（C2）服務(wù)器。

向受害者展示的誘餌文件 來(lái)源：BlackBerry

BlackBerry方面表示，一旦受害者通過(guò)手動(dòng)點(diǎn)擊 "啟用內(nèi)容 "引誘信息打開(kāi)并執(zhí)行該文件，[redacted].dotm 文件就會(huì)謹(jǐn)慎地向系統(tǒng)投放一個(gè)新文件并打開(kāi)它。用戶新下載的文件是可讀的，這就能夠讓受害者相信最初通過(guò)電子郵件收到的文件是合法的。

AeroBlade的攻擊鏈 來(lái)源：黑莓

反向外殼有效載荷是一個(gè)嚴(yán)重混淆的 DLL 文件，它會(huì)列出被入侵計(jì)算機(jī)上的所有目錄，以幫助操作員計(jì)劃下一步的數(shù)據(jù)盜竊行動(dòng)。

DLL 文件具有反分析機(jī)制，包括沙箱檢測(cè)、自定義字符串編碼、通過(guò)死代碼和控制流混淆提供反匯編保護(hù)，以及通過(guò) API 散列掩蓋 Windows 功能濫用。

該有效荷載還通過(guò)Windows任務(wù)調(diào)度程序在系統(tǒng)上建立持久性，添加一個(gè)名為“WinUpdate2”的任務(wù)，因此在被破壞設(shè)備上的立足點(diǎn)在系統(tǒng)重新啟動(dòng)后仍然存在。

早期的DLL有效載荷樣本遺漏了2023樣本中看到的大多數(shù)規(guī)避機(jī)制，以及列出目錄和竊取數(shù)據(jù)的能力。

這表明威脅行為者在繼續(xù)改進(jìn)其工具，以實(shí)施更復(fù)雜的攻擊，而 2022 年的嘗試則更側(cè)重于測(cè)試入侵和感染鏈。

在這兩次攻擊中，最終有效載荷都是連接到相同 C2 IP 地址的反向外殼，威脅者在網(wǎng)絡(luò)釣魚(yú)階段使用了相同的引誘文件。

BlackBerry公司無(wú)法確定 AeroBlade 的來(lái)源或攻擊的確切目的。

但據(jù)研究人員推測(cè)，其目的是竊取數(shù)據(jù)進(jìn)行出售，將其提供給國(guó)際航空航天競(jìng)爭(zhēng)對(duì)手，或利用這些信息對(duì)受害者進(jìn)行敲詐勒索。