AeroBlade: неизвестные шпионы нацелились на аэрокосмическую индустрию США

Команда исследователей BlackBerry выявила две кибератаки, осуществленные неизвестной ранее группировкой с кодовым названием AeroBlade. Их целью стала одна из ведущих компаний американской аэрокосмической отрасли. Первая фаза атаки произошла в сентябре 2022 года и, судя по всему, служила своеобразной «репетицией». Вторая была зафиксирована в июле 2023 года.

В обеих кампаниях было использовано множество общих методик:

1. Документы-приманки имели обозначение «[скрыто].docx».

2. Итоговой целью атаки становился обратный шелл.

3. IP-адрес командно-контрольного сервера (C2) оставался неизменным.

Однако существуют и ключевые отличия:

1. В атаке 2023 года конечная нагрузка была более скрытной, применялись дополнительные методы затруднения анализа.

2. В нагрузке 2023 года появилась функция, позволяющая перечислять директории на зараженных компьютерах.

Атака начинается с фишинговой рассылки, распространяющей вредоносный документ Microsoft Word под названием «[скрыто].docx». При его открытии жертва видит текст, написанный неразборчивым шрифтом, и сообщение с просьбой активировать содержимое для просмотра в MS Office. Активация приводит к скачиванию второго этапа атаки — файла «[скрыто].dotm».

Документ в формате.docx, полученный жертвой, применяет технику remote template injection (по классификации MITRE ATT&CK, код T1221), чтобы инициировать вторую стадию заражения. Эта техника позволяет злоумышленнику внедрять вредоносную программу в документ через удаленный шаблон.

После открытия и активации документа.docx, скрытый.dotm автоматически загружается на компьютер. .dotm является шаблоном Microsoft Word, который включает в себя специфические настройки и макросы.

На втором этапе атаки угрозу представляют сами макросы. Они выполняют две ключевые функции: во-первых, они запускают библиотеку, встроенную в документ, полученный на первой стадии. Во-вторых, копируют его в заранее определенное место на жестком диске жертвы.

Конечная нагрузка — это DLL-файл, действующий как обратный шелл, подключающийся к серверу C2. Он позволяет открывать порты на целевых устройствах, обеспечивая полный контроль над ними. DLL также способен перечислять все директории на инфицированной системе и использует сложные методы обфускации и защиты от обнаружения.

Исследователи нашли два образца вредоносного ПО, датируемых серединой 2022 года, которые также являются обратными шеллами, указывающими на тот же IP-адрес, что и образцы 2023 года.

Усовершенствования инструментов, используемых этой группой, указывает на то, что она вела активную деятельность как минимум в течение года. Тем не менее, личности участников остаются неизвестными.

Учитывая высокий уровень сложности техник, применяемых хакерами, а также временные рамки атак, можно сделать вывод, что целью кампании был коммерческий кибершпионаж. Скорее всего, они стремились собрать информацию о внутренней структуре и ресурсах атакуемой организации, чтобы в будущем правильно рассчитать сумму выкупа и выявить рычаги влияния.