Команда исследования и разведки угроз BlackBerry обнаружила ранее неизвестного киберугрозника, получившего название AeroBlade. Этот актёр нацелился на организацию в американской аэрокосмической отрасли с явной целью проведения коммерческого и конкурентного кибершпионажа. Для доставки финальной нагрузки использовался метод спир-фишинга: оружейный документ, отправленный в виде вложения электронной почты, содержал встроенную технику инъекции удаленного шаблона и зловредный макрокод VBA.
Было выявлено две кампании атаки. Первая, являвшаяся тестовой стадией, произошла в сентябре 2022 года, а вторая, более сложная атака, состоялась в июле 2023 года. Обе кампании использовали похожие методы, включая документы-приманки с одинаковыми названиями и финальную нагрузку в виде обратного шелла, связывающегося с одним и тем же сервером управления и контроля (C2). Однако финальная нагрузка атаки 2023 года была более скрытной и использовала дополнительные методы обфускации и антианализа.
Финальная нагрузка представляла собой DLL-файл, действующий как обратный шелл, который позволял злоумышленникам открывать порты на целевых машинах, обеспечивая полный контроль над устройством. Этот DLL также был способен перечислять все каталоги на зараженной системе и был значительно обфусцирован для усложнения анализа.
На основании содержания сообщения-приманки целевой объект обеих кампаний был компанией из американской аэрокосмической отрасли. Развитие инструментария этой группы угроз указывает на то, что оператор был активен как минимум год. Точная личность стоящих за этими кампаниями пока остается неизвестной. С учетом технической сложности использованных методов и временных рамок атаки можно сделать вывод, что целью кампании был коммерческий кибершпионаж с целью получения информации о внутренних ресурсах целевой организации, возможно, для оценки ее уязвимости к будущим требованиям выкупа