Nouvelle attaque d’espionnage : l’acteur de menace AeroBlade s’attaque à l’industrie aérospatiale américaine

L’équipe BlackBerry Threat Research and Intelligence suit le groupe d’activités appelé AeroBlade. Son origine est actuellement inconnue et il n’est pas certain que l’attaque ait été couronnée de succès.

« L’acteur a utilisé le spear-phishing comme mécanisme de livraison : Un document militarisé, envoyé en tant que pièce jointe à un courriel, contient une technique d’injection de modèle à distance intégrée et un code macro VBA malveillant, afin de réaliser l’étape suivante de l’exécution de la charge utile finale », a déclaré l’entreprise dans une analyse publiée la semaine dernière.

L’attaque initiale, qui a eu lieu en septembre 2022, a commencé par un courriel d’hameçonnage contenant une pièce jointe Microsoft Word qui, lorsqu’elle est ouverte, utilise une technique appelée injection de modèle à distance pour récupérer une charge utile à l’étape suivante qui est exécutée après que la victime a activé les macros.

La chaîne d’attaque a finalement conduit au déploiement d’une bibliothèque de liens dynamiques (DLL) qui fonctionne comme un shell inversé, se connectant à un serveur de commande et de contrôle (C2) codé en dur et transmettant des informations sur le système aux attaquants.

Les capacités de collecte d’informations comprennent également l’énumération de la liste complète des répertoires de l’hôte infecté, ce qui indique qu’il pourrait s’agir d’un effort de reconnaissance mené pour voir si la machine héberge des données précieuses et aider ses opérateurs à élaborer une stratégie pour les étapes suivantes.

Les « reverse shells » permettent aux attaquants d’ouvrir des ports vers les machines cibles, forçant ainsi la communication et permettant une prise de contrôle complète de l’appareil », a déclaré Dmitry Bestuzhev, directeur principal des renseignements sur les cybermenaces chez BlackBerry. « Il s’agit donc d’une grave menace pour la sécurité.