2年未被发现的航空业恶意软件攻击

针对航空业的两年有针对性的网络钓鱼活动可能由一名在尼日利亚境外活动的威胁行为人牵头，强调攻击者如何在雷达监视下进行长时间的小规模网络攻击。

Cisco TalOS将恶意软件攻击称为“操作停机”，基于2021年5月微软安全情报小组先前的研究，这项研究涉及到了一个“动态战役”，目标是在航空航天和旅游部门，用矛式钓鱼邮件分发一个积极开发的装载机，然后装载RevEngReAT或AcsiCRAT。

“研究人员蒂亚戈·佩雷拉（Tiago Pereira）和维托·文图拉（Vitor Ventura）说：“从一开始就使用现成的恶意软件，而不开发自己的恶意软件，这在技术上似乎并不复杂。”该演员还购买了密码器，允许在不被发现的情况下使用此类恶意软件，多年来，该演员使用了几种不同的密码器，主要是在在线论坛上购买的。"

据信，这名威胁参与者至少自2013年以来一直活跃。这些攻击涉及电子邮件，其中包含以航空或货运业为中心的特定诱饵文档，这些文档声称是PDF文件，但链接到托管在Google Drive上的VBScript文件，最终导致AsyncRAT和njRAT等远程访问特洛伊木马（RAT）的交付，使组织容易受到一系列安全风险的影响。Cisco Talos表示，他们发现了31种不同的航空主题诱饵，可以追溯到2018年8月。

对与攻击中使用的不同域相关的活动的进一步分析表明，参与者将多个RAT编织到他们的活动中，基础设施用作Cybergate RAT、AsyncRAT的指挥和控制（C2）服务器，以及一个批处理文件，该批处理文件被用作恶意软件链的一部分，用于下载和执行其他恶意软件。

研究人员说：“许多参与者的技术知识有限，但仍然能够操作老鼠或信息窃取者，在适当的条件下对大公司构成重大风险。”。“在这种情况下，这场看似简单的运动实际上是一场持续的行动，已经活跃了三年，针对的是整个行业，使用不同的密码器伪装成现成的恶意软件。"