Af Charlie Osborne for Zero Day | 17. september 2021 – 09:06 GMT (10:06 BST) | Emne: Sikkerhed
Forskere har afsløret en langvarig kampagne mod luftfartssektoren, der begynder med analysen af en trojan fra Microsoft.
Den 11. maj offentliggjorde Microsoft Security Intelligence en Twitter-tråd, der beskriver en kampagne, der er målrettet mod “luftfarts- og rejsesektorer med e-mail med spyd-phishing, der distribuerer en aktivt udviklet loader, som derefter leverer RevengeRAT eller AsyncRAT.”
Operatøren af denne kampagne brugte e -mailforfalskning til at foregive at være legitime organisationer i disse brancher, og en vedhæftet .PDF -fil inkluderede et integreret link, der indeholdt et ondsindet VBScript, som derefter ville droppe trojanske nyttelast på en målmaskine.
Ifølge Microsoft blev malware brugt til at spionere på ofre samt til at eksfiltrere data, herunder legitimationsoplysninger, skærmbilleder, udklipsholder og webcam -data.
Microsofts sikkerhedsteam har overvåget kampagnen, og nu har Cisco Talos også bidraget med sine resultater om operationen.
Cisco Talos -forskere Tiago Pereira og Vitor Ventura offentliggjorde torsdag et blogindlæg, der dokumenterede ordningen, kaldet “Operation Layover”, som nu er blevet knyttet til en skuespiller, der har været aktiv siden mindst 2013 – og har været målrettet luftfart i mindst to år.
Ud over Microsofts undersøgelse har cybersikkerhedsvirksomheden etableret forbindelser mellem denne trusselsaktør til kampagner mod andre sektorer, der strækker sig over de sidste fem år.
Når det kommer til luftfartsmål, lignede eksempel -e -mails, der indeholder ondsindede .PDF'er, meget meget som dem, der blev indhentet af Microsoft. E-mails og .PDF-vedhæftede filer er luftfartstema med omtale af rejseplaner, ruteflyvning, private jetfly, tilbud, charteranmodninger, fragtoplysninger og mere.
Baseret på passiv DNS-telemetri, mener teamet trusselsaktøren er placeret i Nigeria, på grund af at 73% af IP'erne er forbundet til værter, domæner og angrebene generelt stammer fra dette land. Pseudonymer ser ud til at omfatte håndtaget “Nassief2018” på hackingfora samt monikerne “bodmas” og “kimjoy”.
Cyberkriminelle startede med at bruge CyberGate-malware på hylden og ser ikke ud til at være gået ud over kommercielt tilgængelig kode siden. Trusselsaktøren er også blevet knyttet til køb af kryptere fra online fora, e -mail -adresser og telefonnumre, selvom disse fund ikke er blevet verificeret.
CyberGate er siden blevet erstattet med AsyncRAT i de seneste kampagner med over 50 prøver fundet, der kommunikerer med en kommando-og-kontrol (C2) server, der bruges af trusselsaktøren. Fra nu af er der fundet yderligere otte domæner, der er knyttet til AsyncRAT -implementering, hvoraf størstedelen blev registreret i løbet af 2021.
RevengeRAT og AsyncRAT er imidlertid ikke de eneste mærker af malware, der er i brug. Et domæne, som teamet fik øje på, angiver også, at operatøren bruger en variant af njRAT i cyberangreb.
“Skuespillere, der udfører mindre angreb, kan blive ved med at gøre dem i en lang periode under radaren,” siger Cisco Talos. “Dog kan deres aktiviteter føre til store hændelser i store organisationer. Det er de aktører, der fodrer det underjordiske marked med legitimationsoplysninger og cookies, som derefter kan bruges af større grupper til aktiviteter som storvildtjagt.”
Tidligere og relateret dækning
Første autonome flyvning fra gate-til-gate
Flyselskaber advarer passagerer om databrud, efter at luftfartsteknisk leverandør er ramt af cyberangreb
Saber Systems IT-afbrydelse ødelægger flyselskab operationer globalt
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller derover på Keybase: charlie0
Relaterede emner:
Security TV Data Management CXO Data Centers 