Ciberataques contra la industria de la aviación, vinculados a un actor de amenazas nigeriano

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Investigadores han desenmascarado una larga campaña contra el sector de la aviación, que comenzó con el análisis de un troyano de Microsoft.

El 11 de mayo, Microsoft Security Intelligence publicó un hilo de Twitter en el que se describía una campaña dirigida a los “sectores aeroespacial y de viajes con correos electrónicos de spear-phishing que distribuyen un cargador desarrollado activamente, que luego entrega RevengeRAT o AsyncRAT”.

El operador de esta campaña utilizó la suplantación de correos electrónicos para hacerse pasar por organizaciones legítimas de estos sectores, y un archivo .PDF adjunto incluía un enlace incrustado, que contenía un VBScript malicioso que luego dejaba caer las cargas útiles del troyano en una máquina de destino.

Según Microsoft, el malware se utilizaba para espiar a las víctimas, así como para extraer datos, como credenciales, capturas de pantalla, datos del portapapeles y de la cámara web.

El equipo de seguridad de Microsoft ha estado supervisando la campaña, y ahora, Cisco Talos también ha aportado sus conclusiones sobre la operación.

Los investigadores de Cisco Talos, Tiago Pereira y Vitor Ventura, publicaron el jueves una entrada en su blog en la que documentan el esquema, apodado “Operación Layover”, que ahora ha sido vinculado a un actor que ha estado activo desde al menos 2013 – y ha estado apuntando a la aviación durante al menos dos años.

Además de la investigación de Microsoft, la empresa de ciberseguridad ha establecido conexiones entre este actor de la amenaza y las campañas contra otros sectores, que abarcan los últimos cinco años.

En lo que respecta a los objetivos de la aviación, los correos electrónicos de muestra que contenían archivos .PDF maliciosos eran muy similares a los obtenidos por Microsoft. Los mensajes de correo electrónico y los archivos adjuntos en formato .PDF tienen una temática de aviación, con menciones a itinerarios de viajes, rutas de vuelos, aviones privados, presupuestos, solicitudes de flete, detalles de la carga, etc.

Basándose en la telemetría pasiva de DNS, el equipo cree que el actor de la amenaza se encuentra en Nigeria, debido a que el 73% de las IPs conectadas a hosts, dominios y los ataques en general se originan en este país. Los seudónimos parecen incluir el asidero “Nassief2018” en los foros de hacking, así como los apodos “bodmas” y “kimjoy”.

El ciberdelincuente comenzó a utilizar el malware CyberGate, disponible en el mercado, y no parece haber ido más allá del código comercialmente disponible desde entonces. El actor de la amenaza también ha sido vinculado a la compra de criptomonedas en foros en línea, direcciones de correo electrónico y números de teléfono, aunque estos hallazgos no han sido verificados.

Desde entonces, CyberGate ha sido sustituido por AsyncRAT en campañas recientes, con más de 50 muestras detectadas que se comunican con un servidor de mando y control (C2) utilizado por el actor de la amenaza. Hasta ahora, se han detectado ocho dominios más relacionados con el despliegue de AsyncRAT, la mayoría de los cuales se registraron a lo largo de 2021.

Sin embargo, RevengeRAT y AsyncRAT no son las únicas marcas de malware en uso. Un dominio detectado por el equipo también indica que el operador está utilizando una variante de njRAT en los ciberataques.

Info – Ciberseguridad Latam

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *