Forskare har maskerat en lång kampanj mot luftfartssektorn, som börjar med analysen av en trojan från Microsoft.
Den 11 maj publicerade Microsoft Security Intelligence en Twitter-tråd som beskriver en kampanj som riktar sig till “flyg- och resesektorerna med e-postmeddelanden om spear-phishing som distribuerar en aktivt utvecklad lastare, som sedan levererar RevengeRAT eller AsyncRAT.”
Operatören för denna kampanj använde e -postförfalskning för att låtsas vara legitima organisationer i dessa branscher, och en bifogad .PDF -fil inkluderade en inbäddad länk som innehöll ett skadligt VBScript som sedan skulle släppa trojanska nyttolaster på en målmaskin.
Enligt Microsoft användes skadlig programvara för att spionera på offer och för att exfiltrera data inklusive referenser, skärmdumpar, urklipp och webbkameradata.
Microsofts säkerhetsteam har övervakat kampanjen, och nu har Cisco Talos också bidragit med sina resultat om verksamheten.
Cisco Talos -forskarna Tiago Pereira och Vitor Ventura publicerade på torsdagen ett blogginlägg som dokumenterade upplägget, kallat “Operation Layover”, som nu har kopplats till en aktör som har varit aktiv sedan minst 2013 – och har riktat in sig på luftfart åtminstone två år.
Utöver Microsofts undersökning har cybersäkerhetsföretaget etablerat kopplingar mellan denna hotaktör till kampanjer mot andra sektorer, som sträcker sig över de senaste fem åren.
När det gäller luftfartsmål var exempel på e -postmeddelanden som innehåller skadliga .PDF -filer mycket lika dem som erhållits av Microsoft. E-postmeddelandena och .PDF-bilagorna är av luftfartstema, med omnämnanden av resvägar, flygtransport, privata jetplan, offerter, charterförfrågningar, lastdetaljer och mer.
Baserat på passiv DNS-telemetri, anser teamet hotaktören finns i Nigeria, på grund av att 73% av IP: erna är anslutna till värdar, domäner och attackerna i stort kommer från detta land. Pseudonymer verkar innehålla handtaget “Nassief2018” på hackningsforum, liksom monikerna “bodmas” och “kimjoy”.
Cybercriminalen började med att använda CyberGate-skadlig kod från hyllan och verkar inte ha gått utöver kommersiellt tillgänglig kod sedan dess. Hotaktören har också kopplats till inköp av krypter från forum online, e -postadresser och telefonnummer, även om dessa fynd inte har verifierats.
CyberGate har sedan dess ersatts med AsyncRAT i de senaste kampanjerna, med över 50 prover upptäckta som kommunicerar med en kommando-och-kontroll (C2) -server som används av hotaktören. Från och med nu har ytterligare åtta domäner kopplade till AsyncRAT -distribution upptäckts, varav majoriteten registrerades över 2021.
RevengeRAT och AsyncRAT är dock inte de enda märkena för skadlig kod som används. En domän som teamet upptäckte indikerar också att operatören använder en variant av njRAT i cyberattacker.
“Aktörer som utför mindre attacker kan fortsätta göra dem under en rad tid under radarn”, säger Cisco Talos. “Men deras verksamhet kan leda till stora incidenter i stora organisationer. Det här är de aktörer som matar den underjordiska marknaden av referenser och kakor, som sedan kan användas av större grupper på aktiviteter som jakt på storvilt.”
Tidigare och relaterad täckning
Första autonoma flygplan från gate-to-gate
Flygbolag varnar passagerare för dataintrång efter att flygteknisk leverantör drabbats av cyberattack
Saber Systems IT-avbrott förlamar flygbolag verksamhet globalt
Har du ett tips? Hör av dig säkert via WhatsApp | Signal på +447713 025 499 eller senare på Keybase: charlie0
Relaterade ämnen:
Security TV Data Management CXO Data Centers 