Специалисты по информационной безопасности компании BlackBerry сообщили об обнаружении ранее неизвестной хакерской группировки AeroBlade. По информации, предоставленной изданием Bleeping Computer, эта группировка нацелена на организации, работающие в американском аэрокосмическом секторе.
Эксперты по кибербезопасности из BlackBerry рассказали, что обнаружили киберпреступную операцию, организованную хакерами AeroBlade. Операция была реализована в два этапа: в сентябре 2022 года хакеры проводили тесты на возможность проведения атак против предприятий различных критических отраслей деятельности в США. Затем, в июле 2023 года, начались продвинутые кибератаки, нацеленные на американский аэрокосмический сектор.
Специалисты BlackBerry подчеркнули, что в этих кибератаках хакеры группировки AeroBlade используют целевой фишинг, распространяя фейковые электронные письма среди сотрудников конкретных организаций, содержащие заражённые документы. Открытие этих документов пользователями целевых компаний позволяет злоумышленникам получить первоначальный доступ к корпоративным сетям.
После этого осуществляется сброс полезной нагрузки обратной оболочки, которая может выполнять листинг файлов и кражу конфиденциальной информации. В компании BlackBerry отмечают, что с высокой долей вероятности основной целью подобных кибератак является коммерческий шпионаж с целью сбора конфиденциальной и особо ценной информации.
Специалисты также сообщили, что первые кибератаки, приписываемые хакерской группировке AeroBlade, были зарегистрированы ещё в сентябре 2022 года. Тогда киберпреступники, используя фишинговые письма с прикреплённым документом DOCX, применяли удалённое внедрение шаблонов для загрузки файлов DOTM второго этапа.
На втором этапе на целевом устройстве устанавливаются вредоносные макросы, создающие обратную оболочку в системе, которая подключается к серверу управления и контроля киберпреступников. Как только пользователи открывают вредоносный файл на своём устройстве и запускают его на компьютере, кликнув по сообщению-приманке в электронном письме с названием «Включить контент», документ с расширением .dotm дискретно передаёт новый файл в систему и активирует его.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.