Незареєстрований зловмисник був замішаний у кібершпигунстві, спрямованому на аерокосмічну організацію США
«Угруповання використовувало цілеспрямований фішинг. Як механізм доставки шкідливого програмного забезпечення вони прикріплювали документ до електронного листа, в який вбудовані методи віддаленого впровадження шаблонів і шкідливий VBA. Хоча мережна інфраструктура, використана в атаці, як повідомляється, почала функціонувати приблизно у вересні 2022 року, то фаза атаки відбулася майже через рік, у липні 2023 року. Зловмисник зробив поліпшив свій набір інструментів, щоб у цей період він став більш захованним.
Перша атака, що відбулася у вересні 2022 року, почалася з фішингового електронного листа з вкладенням Microsoft Word, який при відкритті шахарї використовували техніку, яка називається віддаленим впровадженням шаблону, для виконання макросу після того, як жертва дозволяла макросу сама виконати етап вивантаження даних. Ланцюжок атак зрештою привів до розгортання бібліотеки динамічного компонування (DLL), яка діє як зворотна оболонка, підключаючись до жорстко запрограмованого сервера управління та контролю (C2) та передаючи системну інформацію зловмисникам безпосередньо в ручки.
«Це серйозна загроза безпеці. Зворотні оболонки дозволяють зловмисникам відкривати порти на захоплених машинах, забезпечуючи зв’язок та забезпечуючи повний контроль над пристроєм», – сказав Дмитро Бестужев, старший директор з аналізу кіберзагроз BlackBerry.
Ланцюжок атак зрештою привів до розгортання бібліотеки динамічного компонування (DLL), яка діяла як зворотна оболонка, підключаючись до жорстко запрограмованого сервера управління та контролю (C2) та відправляючи зловмиснику системну інформацію. Можливості збору інформації також включають перерахування повного списку каталогів на зараженому хості, що вказує на те, що це може бути розвідувальна операція, що проводиться з метою з’ясувати, чи зберігаються на машині будь-які цінні дані, і допомогти її операторам виробити стратегію своїх наступних кроків. Сильно затуманена DLL також оснащена методами антианалізу та антидизассемблування, що ускладнює виявлення та розбирання. Настійність досягається за допомогою планувальника завдань, у якому створюється завдання під назвою «WinUpdate2» для запуску щодня о 10:10 ранку. «Протягом години, що минула між двома кампаніями, які ми спостерігали, суб’єкт загрози доклав значних зусиль для розробки додаткових ресурсів, щоб забезпечити їм доступ до потрібної інформації та успішно її викрадати», — сказав Бестужев.