En el cambiante panorama de la seguridad cibernética, el surgimiento de nuevos actores de amenazas siempre es motivo de preocupación. Uno de los más recientes, AeroBlade, ha llamado la atención de expertos y analistas de seguridad en 2023. En este artículo proporcionaremos una visión detallada de AeroBlade, explorando su metodología, impacto potencial y medidas para protegerse contra este nuevo actor de amenaza cibernética.
Un nuevo actor de amenazas, hasta ahora no documentado, ha sido identificado en relación con un ataque cibernético dirigido a una entidad del sector aeroespacial en Estados Unidos. Este incidente forma parte de lo que parece ser una operación de ciberespionaje.
Este grupo, conocido como AeroBlade, está siendo monitoreado por especialistas en seguridad cibernética. Aún no se ha determinado su origen y no está claro si el ataque fue exitoso.
Los atacantes emplearon tácticas de phishing, enviando un documento malicioso a través de un correo electrónico. Este archivo contenía una técnica avanzada de inyección de plantilla remota y código macro VBA dañino para distribuir la carga útil, según un análisis reciente.
Se ha descubierto que la infraestructura de red utilizada en el ataque comenzó a operar alrededor de septiembre de 2022. La fase activa del ataque se produjo casi un año después, en julio de 2023. Durante el período intermedio, el adversario tomó medidas para mejorar su conjunto de herramientas y aumentar su sigilo.
Te podrá interesar leer: Protegiendo tu Empresa de los Ataques de Phishing por Emails
El ataque inicial se lanzó en septiembre de 2022 con un correo electrónico de phishing que incluía un archivo adjunto de Microsoft Word. Al abrirse, este archivo usaba una técnica de inyección de plantilla remota para descargar una carga útil secundaria, que se activaba una vez que la víctima habilitaba las macros.
Esta cadena de ataque llevó a la implementación de una biblioteca de enlaces dinámicos (DLL) que funcionaba como un shell inverso, conectándose a un servidor de comando y control y transmitiendo información del sistema a los atacantes.
La habilidad de los atacantes para recopilar información incluía la capacidad de enumerar todos los directorios en el host infectado, indicando que este podría ser un esfuerzo de reconocimiento para determinar si la máquina contenía datos valiosos y así ayudar a planificar los siguientes pasos. Los shells inversos son particularmente peligrosos ya que permiten a los atacantes abrir puertos en las máquinas objetivo, forzar la comunicación y potencialmente tomar control total del dispositivo.
La DLL, altamente ofuscada, también incluye técnicas de anti-análisis y anti-desensamblaje para evadir la detección y dificultar su análisis, además de evitar la ejecución en entornos aislados. La persistencia se logra mediante la creación de una tarea programada llamada "WinUpdate2" que se ejecuta diariamente a las 10:10 a.m.
El desarrollo de recursos adicionales por parte del actor de amenazas durante el tiempo entre las dos campañas observadas muestra un esfuerzo considerable para asegurar el acceso a la información deseada y su exitosa exfiltración.
Podrá interesarte: Desentrañando el Mundo de la Ciberseguridad C2
Para evitar ser víctima del ataque de AeroBlade, se recomienda seguir algunas buenas prácticas de seguridad, como:
Te podrá interesar leer: Concientización: Esencial en la Ciberseguridad de tu Empresa
AeroBlade es un nuevo actor de amenazas que ha atacado a la industria aeroespacial de EE.UU. con el fin de realizar ciberespionaje comercial y competitivo. El grupo ha utilizado documentos de Word maliciosos, plantillas de Word maliciosas y archivos DLL maliciosos para infectar y controlar los sistemas de sus víctimas. El grupo ha demostrado su capacidad para mejorar su conjunto de herramientas y hacerlo más sigiloso y evasivo. Para protegerse del ataque de AeroBlade, se aconseja seguir las buenas prácticas de seguridad y utilizar una solución de seguridad robusta.