Onderzoekers hebben een langdurige campagne tegen de luchtvaartsector ontmaskerd, te beginnen met de analyse van een Trojaans paard door Microsoft.
Op 11 mei publiceerde Microsoft Security Intelligence een Twitter-thread waarin een campagne wordt geschetst die gericht is op de “luchtvaart- en reissectoren met spear-phishing-e-mails die een actief ontwikkelde loader verspreiden, die vervolgens RevengeRAT of AsyncRAT levert.”
De exploitant van deze campagne gebruikte e-mailspoofing om zich voor te doen als legitieme organisaties in deze sectoren, en een bijgevoegd .PDF-bestand bevatte een ingesloten link met een kwaadaardig VBScript dat vervolgens Trojaanse payloads op een doelcomputer zou droppen.
Volgens Microsoft werd de malware gebruikt om slachtoffers te bespioneren en om gegevens te exfiltreren, waaronder inloggegevens, screenshots, klembord en webcamgegevens.
Het beveiligingsteam van Microsoft heeft de campagne in de gaten gehouden en nu heeft Cisco Talos ook zijn bevindingen over de operatie bijgedragen.
Cisco Talos-onderzoekers Tiago Pereira en Vitor Ventura publiceerden donderdag een blogpost waarin ze het plan documenteren, genaamd “Operation Layover”, dat nu is gekoppeld aan een acteur die al sinds 2013 actief is – en zich al minstens een jaar op de luchtvaart richt. twee jaar.
Naast het onderzoek van Microsoft heeft het cyberbeveiligingsbedrijf de afgelopen vijf jaar verbindingen gelegd tussen deze dreigingsactor en campagnes tegen andere sectoren.
Als het gaat om luchtvaartdoelen, leken voorbeeld-e-mails met kwaadaardige .PDF's erg op die van Microsoft. De e-mails en .PDF-bijlagen hebben een luchtvaartthema, met vermeldingen van reisroutes, vluchtroutes, privéjets, offertes, charterverzoeken, vrachtgegevens en meer.
Gebaseerd op passieve DNS-telemetrie, meent het team de dreigingsactor bevindt zich in Nigeria, omdat 73% van de IP's die zijn verbonden met hosts, domeinen en de aanvallen in het algemeen afkomstig zijn uit dit land. Pseudoniemen lijken het handvat “Nassief2018” op hackforums te bevatten, evenals de bijnamen “bodmas” en “kimjoy”.
De cybercrimineel begon met het gebruik van de kant-en-klare CyberGate-malware en lijkt sindsdien niet verder te zijn gegaan dan commercieel beschikbare code. De dreigingsactor is ook in verband gebracht met crypto-aankopen van online forums, e-mailadressen en telefoonnummers, hoewel deze bevindingen niet zijn geverifieerd.
CyberGate is sindsdien in recente campagnes vervangen door AsyncRAT, waarbij meer dan 50 monsters zijn gedetecteerd die communiceren met een command-and-control (C2) -server die door de dreigingsactor wordt gebruikt. Op dit moment zijn er nog acht domeinen gedetecteerd die zijn gekoppeld aan de implementatie van AsyncRAT, waarvan de meeste zijn geregistreerd in 2021.
RevengeRAT en AsyncRAT zijn echter niet de enige malwaremerken die in gebruik zijn. Een door het team gespot domein geeft ook aan dat de operator een variant van njRAT gebruikt bij cyberaanvallen.
“Acteurs die kleinere aanvallen uitvoeren, kunnen ze lange tijd onder de radar blijven doen”, zegt Cisco Talos. “Hun activiteiten kunnen echter leiden tot grote incidenten bij grote organisaties. Dit zijn de actoren die de ondergrondse markt van inloggegevens en cookies voeden, die vervolgens door grotere groepen kunnen worden gebruikt voor activiteiten zoals de jacht op groot wild.”
Eerdere en gerelateerde berichtgeving
Eerste gate-to-gate autonome vliegtuigvlucht
Luchtvaartmaatschappijen waarschuwen passagiers voor datalek nadat luchtvaarttechnologieleverancier is getroffen door cyberaanval
Sabre Systems IT-storing verlamt luchtvaartmaatschappij operaties wereldwijd
Heb je een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 