Av Charlie Osborne for Zero Day | 17. september 2021 – 09:06 GMT (10:06 BST) | Tema: Sikkerhet
Forskere har avslørt en lang kampanje mot luftfartssektoren, som begynner med analysen av en trojansk av Microsoft.
11. mai publiserte Microsoft Security Intelligence en Twitter-tråd som beskriver en kampanje rettet mot “luftfarts- og reisesektorer med e-post for spydfiske som distribuerer en aktivt utviklet laster, som deretter leverer RevengeRAT eller AsyncRAT.”
Operatøren av denne kampanjen brukte e -postforfalskning for å late som om han var legitime organisasjoner i disse bransjene, og en vedlagt .PDF -fil inkluderte en innebygd lenke som inneholdt et ondsinnet VBScript som deretter ville slippe trojanske nyttelaster på en målmaskin.
Ifølge Microsoft ble skadelig programvare brukt til å spionere på ofre samt eksfiltrere data, inkludert legitimasjon, skjermbilder, utklippstavle og webkamera -data.
Microsofts sikkerhetsteam har overvåket kampanjen, og nå har Cisco Talos også bidratt med sine funn om operasjonen.
Cisco Talos -forskere Tiago Pereira og Vitor Ventura publiserte torsdag et blogginnlegg som dokumenterte opplegget, kalt “Operation Layover”, som nå har blitt knyttet til en skuespiller som har vært aktiv siden minst 2013 – og har vært rettet mot luftfart i minst to år.
I tillegg til Microsofts undersøkelse, har cybersikkerhetsselskapet etablert forbindelser mellom denne trusselaktøren til kampanjer mot andre sektorer, som strekker seg over de siste fem årene.
Når det gjelder luftfartsmål, var eksempel -e -poster som inneholder ondsinnede .PDF -er, veldig like de som ble hentet av Microsoft. E-postene og .PDF-vedleggene er av luftfartstema, med omtale av reiseruter, flyruter, private jetfly, tilbud, charterforespørsler, lastedetaljer og mer.
Basert på passiv DNS-telemetri, mener teamet trusselaktøren befinner seg i Nigeria, på grunn av at 73% av IP -adressene er koblet til verter, domener og angrepene generelt kommer fra dette landet. Pseudonymer ser ut til å inkludere håndtaket “Nassief2018” på hackingfora, så vel som monikerne “bodmas” og “kimjoy”.
Cybercriminal startet med å bruke CyberGate-skadelig programvare på hyllen og ser ikke ut til å ha gått utover kommersielt tilgjengelig kode siden. Trusselaktøren har også blitt knyttet til kjøp av kryptere fra fora på nettet, e -postadresser og telefonnumre, selv om disse funnene ikke er bekreftet.
CyberGate har siden blitt erstattet med AsyncRAT i de siste kampanjene, med over 50 prøver oppdaget som kommuniserer med en kommando-og-kontroll (C2) server som brukes av trusselaktøren. Fra nå av er det oppdaget åtte flere domener knyttet til AsyncRAT -distribusjon, hvorav de fleste ble registrert over 2021.
RevengeRAT og AsyncRAT er imidlertid ikke de eneste merkene for skadelig programvare som brukes. Ett domene oppdaget av teamet indikerer også at operatøren bruker en variant av njRAT i cyberangrep.
“Skuespillere som utfører mindre angrep kan fortsette å gjøre dem i lang tid under radaren,” sier Cisco Talos. “Men deres aktiviteter kan føre til store hendelser i store organisasjoner. Dette er aktørene som mater det underjordiske markedet for legitimasjon og informasjonskapsler, som deretter kan brukes av større grupper på aktiviteter som storviltjakt.”
Tidligere og relatert dekning
Første autonome fly-til-gate-flytur
Flyselskaper advarer passasjerer om brudd på data etter at luftfartsteknisk leverandør rammes av cyberangrep
Saber Systems IT-drift ødelegger flyselskapet operasjoner globalt
Har du et tips? Ta kontakt trygt via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
Sikkerhet TV Datahåndtering CXO datasentre 