Una campaña de phishing dirigida a la industria de la aviación durante dos años puede estar encabezada por un actor de amenazas que opere desde Nigeria, destacando cómo los atacantes pueden llevar a cabo ofensivas cibernéticas a pequeña escala durante períodos prolongados mientras permanecen fuera del radar.
Cisco Talos denominó los ataques de malware «Operation Layover», basándose en una investigación previa del equipo de inteligencia de seguridad de Microsoft en mayo de 2021 que profundizó en una «campaña dinámica dirigida a los sectores aeroespacial y de viajes con correos electrónicos de spear-phishing que distribuyen un cargador desarrollado activamente, que luego entrega RevengeRAT o AsyncRAT «.
«El actor […] no parece ser técnicamente sofisticado, utilizando malware estándar desde el comienzo de sus actividades sin desarrollar su propio malware», dijeron los investigadores Tiago Pereira y Vitor Ventura . «El actor también compra los criptores que permiten el uso de dicho malware sin ser detectado, a lo largo de los años ha utilizado varios criptores diferentes, la mayoría comprados en foros en línea».
Se cree que el actor de la amenaza ha estado activo al menos desde 2013. Los ataques involucran correos electrónicos que contienen documentos atractivos específicos centrados en la industria de la aviación o de carga que pretenden ser archivos PDF pero que se vinculan a un archivo VBScript alojado en Google Drive, lo que finalmente conduce a la entrega de troyanos de acceso remoto (RAT) como AsyncRAT y njRAT, dejando a las organizaciones vulnerables a una variedad de riesgos de seguridad. Cisco Talos dijo que encontró 31 señuelos diferentes con temas de aviación que datan de agosto de 2018.
Un análisis más detallado de la actividad asociada con los diferentes dominios utilizados en los ataques muestra que el actor entrelazó múltiples RAT en sus campañas, con la infraestructura utilizada como servidores de comando y control (C2) para Cybergate RAT, AsyncRAT y un archivo por lotes que se utiliza. como parte de una cadena de malware para descargar y ejecutar otro malware.
«Muchos actores pueden tener conocimientos técnicos limitados, pero aún pueden operar RAT o ladrones de información, lo que representa un riesgo significativo para las grandes corporaciones si se dan las condiciones adecuadas», dijeron los investigadores. «En este caso, […] lo que parecía una campaña simple es, de hecho, una operación continua que ha estado activa durante tres años, dirigida a toda una industria con malware listo para usar disfrazado con diferentes criptadores».
Fuente: https://thehackernews.com/2021/09/malware-attack-on-aviation-sector.html
