Целенаправленная фишинговая кампания, нацеленная на авиапромышленность и продолжавшаяся в течение двух лет, является ярким примером того, как даже малоквалифицированные киберпреступники могут осуществлять небольшие вредоносные операции, долгое время оставаясь необнаруженными.
Специалисты Cisco Talos назвали кампанию, предположительно проводившуюся с территории Нигерии, Operation Layover. В основу их исследования легло более раннее исследование экспертов Microsoft.
По словам специалистов, стоящие за кампанией злоумышленники не являются высококвалифицированными специалистами – на протяжении всей своей деятельности они используют только готовые инструменты и не разрабатывают собственные. Хакеры также покупают средства шифрования, помогающие скрывать активность вредоносного ПО. В течение двух лет они сменили семь таких средств, которые в основном были куплены на online-форумах.
Стоящая за кампанией группировка активна с 2013 года. В атаках она использует электронные письма с поддельными документами, относящимися к авиапромышленности и грузоперевозкам. Документы представляют собой PDF-файлы с ссылкой на файл VBScript на Google Drive, который в свою очередь доставляет на атакуемую систему такие трояны для удаленного доступа (RAT), как AsyncRAT и njRAT. Специалисты Cisco Talos обнаружили 31 связанную с авиапромышленностью тему, использовавшуюся злоумышленниками для обмана жертв с августа 2018 года.
«Многие злоумышленники могут обладать ограниченными техническими знаниями, но все равно управлять RAT или инфостилерами, представляя тем самым существенную угрозу безопасности крупных корпораций […] В этой кажущейся простой кампании, которая, вообще-то, продолжалась два года, они атаковали целую промышленность, используя только готовое вредоносное ПО, замаскированное с помощью инструментов шифрования», — сообщили специалисты.