Ερευνητές ασφαλείας αποκάλυψαν μια μεγάλη hacking εκστρατεία με στόχο αεροπορικές εταιρείες. Όλα ξεκίνησαν από την ανάλυση ενός trojan από τη Microsoft.
Στις 11 Μαΐου, η ομάδα Microsoft Security Intelligence δημοσίευσε ένα thread στο Twitter που περιέγραφε μια εκστρατεία που στόχευε τους “τομείς της αεροδιαστημικής και των ταξιδιών με phishing μηνύματα που περιείχαν ένα loader, το οποίο στη συνέχεια εγκαθιστούσε στις συσκευές το RevengeRAT ή AsyncRAT“.
Δείτε επίσης: Safe Links: Η νέα προστασία του Microsoft Teams κατά του phishing
Ο χειριστής αυτής της καμπάνιας χρησιμοποίησε την τεχνική του email spoofing ώστε τα emails να φαίνεται ότι προέρχονται από νόμιμους οργανισμούς. Τα emails περιείχαν ένα αρχείο .PDF με έναν ενσωματωμένο σύνδεσμο, που περιείχε ένα κακόβουλο VBScript. Στη συνέχεια, αυτό εγκαθιστούσε Trojan payloads στη μηχανή-στόχο.
Σύμφωνα με τη Microsoft, το κακόβουλο λογισμικό χρησιμοποιήθηκε για την κατασκοπεία θυμάτων καθώς και για την κλοπή δεδομένων (credentials, screenshots, clipboard και webcam data).
Η ομάδα ασφαλείας της Microsoft παρακολουθούσε τη hacking εκστρατεία και τώρα, η Cisco Talos παρουσίασε και τα δικά της ευρήματα για τις επιθέσεις στις αεροπορικές εταιρείες.
Οι ερευνητές της Cisco Talos, Tiago Pereira και Vitor Ventura, έκαναν μια δημοσίευση την Πέμπτη στην οποία μιλούν για την επίθεση, “Operation Layover“, η οποία φαίνεται να συνδέεται με επιτιθέμενο που δραστηριοποιείται τουλάχιστον από το 2013 και στοχεύει αεροπορικές εταιρείες τουλάχιστον δύο χρόνια.
Δείτε επίσης: Phishing: Εξακολουθεί να αποτελεί τον «εύκολο δρόμο» για ransomware επιθέσεις
Ο συγκεκριμένος επιτιθέμενος συνδέεται και με επιθέσεις σε άλλους τομείς.
Όσον αφορά στους στόχους στον κλάδο της αεροπορίας, τα δείγματα των κακόβουλων emails που βρήκαν οι ερευνητές ήταν παρόμοια με αυτά που έλαβε η Microsoft. Τα emails και τα συνημμένα .PDF σχετίζονταν με την αεροπορία, με αναφορές σε δρομολόγια πτήσεων, ιδιωτικά αεροσκάφη, ναύλωση, λεπτομέρειες φορτίου και άλλα.
Με βάση passive DNS telemetry, η ομάδα πιστεύει ότι ο επιτιθέμενος βρίσκεται στη Νιγηρία.
Ο εγκληματίας ξεκίνησε χρησιμοποιώντας το off-the-shelf CyberGate malware. Το CyberGate αντικαταστάθηκε με το AsyncRAT στις πιο πρόσφατες επιθέσεις.
Το RevengeRAT και το AsyncRAT, ωστόσο, δεν είναι τα μόνα malware που χρησιμοποιούσε ο επιτιθέμενος από τη Νιγηρία για τις επιθέσεις σε αεροπορικές εταιρείες. Ένα domain που εντοπίστηκε από την ερευνητική ομάδα δείχνει επίσης ότι ο χειριστής χρησιμοποιεί μια παραλλαγή του njRAT σε κυβερνοεπιθέσεις.
Δείτε επίσης: Phishing: Χωρίς εκπαίδευση, ένας στους τρεις πέφτει θύμα επίθεσης
“Οι εγκληματίες που εκτελούν μικρότερες επιθέσεις μπορούν να συνεχίσουν να τις κάνουν για μεγάλο χρονικό διάστημα χωρίς να γίνονται αντιληπτοί“, λέει η Cisco Talos. Ωστόσο, σύμφωνα με τους ερευνητές, οι δραστηριότητές τους μπορεί να δημιουργήσουν προβλήματα σε άλλους μεγάλους οργανισμούς. Αυτοί είναι οι εγκληματίες που τροφοδοτούν την underground αγορά με credentials και δεδομένα που μπορούν να χρησιμοποιηθούν από μεγαλύτερες ομάδες για δραστηριότητες όπως το big game hunting.
Πηγή: ZDNet