Napredni Hakerski Napadi na Zrakoplovne Tvrtke u UAE
Ujedinjeni Arapski Emirati (UAE) postali su meta složenog napada na poslovne e-pošte (BEC), a u centru pažnje su bile zrakoplovne tvrtke. Istraživači računalne sigurnosti iz Proofpoint-a nedavno su otkrili da su kupci u zemlji, posebno povezani sa zrakoplovstvom i satelitskom komunikacijom, zajedno s kritičnom prometnom infrastrukturom, bili na meti napadača.
Kako je Napad Počeo?
Napadi su započeli krajem 2024. godine kada je nepoznati napadač, kojeg nazivamo UNK_CraftyCamel, kompromitirao indijsku elektroničku tvrtku s kojom su zrakoplovne firme ranije saradivale. Koristeći tu tvrtku kao masku, napadači su slali više poliglot datoteka putem njezinog računa e-pošte, čime su zadržali privid legitimnosti dok su pokušavali instalirati napredni zloćudni softver.
Poliglot Datoteke: Ključni Element Napada
Poliglot datoteke, koje istovremeno mogu funkcionirati u više formata, omogućuju napadačima da izbjegnu tradicionalne mehanizme otkrivanja. Iako nisu uobičajene, ove datoteke su već primijećene u nekim cyber napadima, posebno u slučajevima napada na Emmenthaler loader. Ove datoteke omogućuju napadačima instalaciju prilagođenog backdoor-a, nazvanog Sosano, koji omogućava daljinski pristup i izvršavanje zloćudnih komandi.
Strategije Skrivenih Napada
Napadači su koristili nekoliko slojeva zaštite kako bi prikrili svoj napad. Veličina backdoor-a je povećana korištenjem neiskorištenih Golang biblioteka, a izvršenje je odloženo kako bi se izbjeglo otkrivanje u sandbox okruženju. Proofpoint je otkrio da je Sosano bio spojen na udaljeni server bokhoreshonline[.]com radi primanja komandi i potencijalnog preuzimanja dodatnog malvera.
Paralelne Aktivnosti s Drugim Hakerskim Grupama
Iako istraživači ne povezuju izravno UNK_CraftyCamel s poznatim grupama, uočavaju sličnosti s prijetnjama povezanima s Iranom, posebno s grupama TA451 i TA455, koje su povezane s Islamskom Revolucionarnom Gardom (IRGC). “Obje grupe povijesno su se fokusirale na meta organizacije u zrakoplovstvu. Također, TA451 i UNK_CraftyCamel koristili su HTA datoteke u visoko ciljanih kampanjama u UAE; i TA455 i UNK_CraftyCamel preferiraju pristup ciljevima putem poslovnih ponuda, slijedeći cilj na inženjere unutar istih tvrtki”, naveli su istraživači.
Završne Misli
Uzimajući u obzir složenost i inovativnost ovih napada, važno je da tvrtke u zrakoplovnoj industriji postanu svjesnije mogućih prijetnji. Jačanje sigurnosnih mjera i edukacija zaposlenika ključni su elementi u borbi protiv ovakvih sofisticiranih napada. U svijetlu ovih događaja, proaktivna strategija postaje nužnost u očuvanju integriteta poslovanja i zaštiti kritične infrastrukture.
