近日，一個名為 "AeroBlade "的全新網(wǎng)絡(luò)間諜黑客組織“浮出水面”。

BlackBerry公司發(fā)現(xiàn)該黑客組織以美國航空航天領(lǐng)域的組織為目標(biāo)，陸續(xù)發(fā)起了兩次攻擊：第一次是在2022年9月的一次測試?yán)顺?，第二次是今?月發(fā)起的一次更高級別的攻擊。

攻擊利用了魚叉式網(wǎng)絡(luò)釣魚和武器化文件實(shí)現(xiàn)對企業(yè)網(wǎng)絡(luò)的初始訪問，并投放能夠列出文件和竊取數(shù)據(jù)的反向外殼有效載荷。

BlackBerry公司評估后認(rèn)為，該黑客組織的攻擊目標(biāo)是商業(yè)網(wǎng)絡(luò)間諜活動，旨在收集有價值的信息，可信度為中高。

攻擊活動詳情

AeroBlade 的首次攻擊發(fā)生在 2022 年 9 月，它使用帶有文檔 (docx) 附件的釣魚電子郵件，利用遠(yuǎn)程模板注入下載第二階段的 DOTM 文件。

第二階段執(zhí)行惡意宏，在目標(biāo)系統(tǒng)上創(chuàng)建反向外殼，并連接到攻擊者的命令和控制（C2）服務(wù)器。

向受害者展示的誘餌文件 來源：BlackBerry

BlackBerry方面表示，一旦受害者通過手動點(diǎn)擊 "啟用內(nèi)容 "引誘信息打開并執(zhí)行該文件，[redacted].dotm 文件就會謹(jǐn)慎地向系統(tǒng)投放一個新文件并打開它。用戶新下載的文件是可讀的，這就能夠讓受害者相信最初通過電子郵件收到的文件是合法的。

AeroBlade的攻擊鏈 來源：黑莓

反向外殼有效載荷是一個嚴(yán)重混淆的 DLL 文件，它會列出被入侵計(jì)算機(jī)上的所有目錄，以幫助操作員計(jì)劃下一步的數(shù)據(jù)盜竊行動。

DLL 文件具有反分析機(jī)制，包括沙箱檢測、自定義字符串編碼、通過死代碼和控制流混淆提供反匯編保護(hù)，以及通過 API 散列掩蓋 Windows 功能濫用。

該有效荷載還通過Windows任務(wù)調(diào)度程序在系統(tǒng)上建立持久性，添加一個名為“WinUpdate2”的任務(wù)，因此在被破壞設(shè)備上的立足點(diǎn)在系統(tǒng)重新啟動后仍然存在。

早期的DLL有效載荷樣本遺漏了2023樣本中看到的大多數(shù)規(guī)避機(jī)制，以及列出目錄和竊取數(shù)據(jù)的能力。

這表明威脅行為者在繼續(xù)改進(jìn)其工具，以實(shí)施更復(fù)雜的攻擊，而 2022 年的嘗試則更側(cè)重于測試入侵和感染鏈。

在這兩次攻擊中，最終有效載荷都是連接到相同 C2 IP 地址的反向外殼，威脅者在網(wǎng)絡(luò)釣魚階段使用了相同的引誘文件。

BlackBerry公司無法確定 AeroBlade 的來源或攻擊的確切目的。

但據(jù)研究人員推測，其目的是竊取數(shù)據(jù)進(jìn)行出售，將其提供給國際航空航天競爭對手，或利用這些信息對受害者進(jìn)行敲詐勒索。