Un attore di minaccia precedentemente non documentato, denominato Aeroblade, è stato collegato a un attacco informatico contro un’organizzazione aerospaziale negli Stati Uniti, sospettato di essere parte di una missione di cyber spionaggio.
Dettagli dell’Attacco di Aeroblade
Il team di ricerca e intelligence di BlackBerry sta monitorando il cluster di attività di Aeroblade. L’origine dell’attore è attualmente sconosciuta e non è chiaro se l’attacco sia stato riuscito.
L’attore ha utilizzato il spear-phishing come meccanismo di consegna: un documento armato, inviato come allegato email, contiene una tecnica di iniezione di template remoto incorporata e un codice macro VBA maligno, per consegnare la fase successiva all’esecuzione del payload finale.
Infrastruttura di Rete e Fasi dell’Attacco
L’infrastruttura di rete utilizzata per l’attacco è stata attivata intorno a settembre 2022, con la fase offensiva dell’intrusione che si è verificata quasi un anno dopo, a luglio 2023. L’attacco iniziale, avvenuto a settembre 2022, è iniziato con un’email di phishing contenente un allegato di Microsoft Word che, una volta aperto, ha utilizzato una tecnica chiamata iniezione di template remoto per recuperare un payload della fase successiva che viene eseguito dopo che la vittima abilita le macro.
Capacità di Raccolta Informazioni
La catena di attacco ha infine portato al dispiegamento di una libreria a collegamento dinamico (DLL) che funziona come un reverse shell, connettendosi a un server di comando e controllo (C2) codificato e trasmettendo informazioni di sistema agli attaccanti. Le capacità di raccolta di informazioni includono anche l’enumerazione dell’elenco completo delle directory sull’host infetto, indicando che potrebbe trattarsi di uno sforzo di ricognizione effettuato per vedere se la macchina ospita dati di valore e aiutare gli operatori a pianificare i loro prossimi passi.
Tecniche Anti-Analisi e Persistenza
La DLL fortemente offuscata è dotata anche di tecniche anti-analisi e anti-disassemblaggio per renderla difficile da rilevare e smontare, evitando l’esecuzione in ambienti sandboxati. La persistenza è ottenuta tramite un Task Scheduler, in cui viene creato un task denominato “WinUpdate2” per essere eseguito ogni giorno alle 10:10.