I ricercatori hanno smascherato una lunga campagna contro il settore dell'aviazione, a partire dall'analisi di un trojan da parte di Microsoft.
L'11 maggio, Microsoft Security Intelligence ha pubblicato un thread su Twitter che delinea una campagna mirata ai “settori aerospaziale e dei viaggi con e-mail di spear-phishing che distribuiscono un caricatore sviluppato attivamente, che poi fornisce RevengeRAT o AsyncRAT”.
L'operatore di questa campagna ha utilizzato lo spoofing della posta elettronica per fingere di essere organizzazioni legittime in questi settori e un file .PDF allegato includeva un collegamento incorporato, contenente un VBScript dannoso che avrebbe quindi rilasciato payload Trojan su una macchina di destinazione.
Secondo Microsoft, il malware è stato utilizzato per spiare le vittime e per esfiltrare dati tra cui credenziali, schermate, appunti e dati della webcam.
Il team di sicurezza di Microsoft ha monitorato la campagna e ora anche Cisco Talos ha contribuito con i suoi risultati all'operazione.
I ricercatori di Cisco Talos Tiago Pereira e Vitor Ventura hanno pubblicato un post sul blog giovedì che documenta lo schema, soprannominato “Operation Layover”, che ora è stato collegato a un attore attivo almeno dal 2013 e che si occupa dell'aviazione da almeno due anni.
Oltre alle indagini di Microsoft, la società di sicurezza informatica ha stabilito collegamenti tra questo attore di minacce e campagne contro altri settori, negli ultimi cinque anni.
Per quanto riguarda gli obiettivi dell'aviazione, le e-mail di esempio contenenti .PDF dannosi erano molto simili a quelle ottenute da Microsoft. Le e-mail e gli allegati .PDF sono a tema aeronautico, con menzioni di itinerari di viaggio, rotte dei voli, jet privati, preventivi, richieste di charter, dettagli del carico e altro.
Sulla base della telemetria DNS passiva, il team ritiene l'attore delle minacce si trova in Nigeria, a causa del 73% degli IP collegati a host, domini e gli attacchi in generale provengono da questo paese. Gli pseudonimi sembrano includere l'handle “Nassief2018” sui forum di hacking, così come i moniker “bodmas” e “kimjoy”.
Il criminale informatico ha iniziato utilizzando il malware CyberGate standard e da allora non sembra essere andato oltre il codice disponibile in commercio. L'attore delle minacce è stato anche collegato agli acquisti di crypter da forum online, indirizzi e-mail e numeri di telefono, sebbene questi risultati non siano stati verificati.
Da allora CyberGate è stato sostituito con AsyncRAT nelle recenti campagne, con oltre 50 campioni rilevati che comunicano con un server di comando e controllo (C2) utilizzato dall'autore della minaccia. Ad oggi, sono stati rilevati altri otto domini collegati all'implementazione di AsyncRAT, la maggior parte dei quali è stata registrata nel 2021.
RevengeRAT e AsyncRAT, tuttavia, non sono gli unici marchi di malware in uso. Un dominio individuato dal team indica anche che l'operatore sta utilizzando una variante di njRAT negli attacchi informatici.
“Gli attori che eseguono attacchi più piccoli possono continuare a farli per un lungo periodo di tempo sotto il radar”, afferma Cisco Talos. “Tuttavia, le loro attività possono portare a gravi incidenti nelle grandi organizzazioni. Questi sono gli attori che alimentano il mercato sotterraneo di credenziali e cookie, che possono quindi essere utilizzati da gruppi più grandi in attività come la caccia grossa”.
Copertura precedente e correlata
Primo volo aereo autonomo gate-to-gate
Le compagnie aeree avvertono i passeggeri della violazione dei dati dopo che il fornitore di tecnologia aeronautica è stato colpito da un attacco informatico
Un'interruzione IT di Sabre Systems paralizza la compagnia aerea operazioni a livello globale
Hai un consiglio? Mettiti in contatto in modo sicuro tramite WhatsApp | Segnale al numero +447713 025 499 o tramite Keybase: charlie0
Argomenti correlati:
Security TV Data Management CXO Data Center 