针对航空业的APT网络钓鱼攻击直到2年后才被发现

一项针对航空业两年的有针对性的网络钓鱼活动可能由尼日利亚黑客带头，突显了黑客如何在不为人知的情况下长时间进行小规模网络攻击。

根据网络安全行业门户极牛网GEEKNB.COM的梳理，这个恶意软件攻击称为“Operation Layover”，该研究基于 Microsoft 安全情报团队在 2021 年 5 月进行的先前研究，该研究深入研究了“针对航空航天和旅游行业的动态活动，通过鱼叉式网络钓鱼电子邮件分发积极开发的加载程序，然后提供 RevengeRAT 或 AsyncRAT进行利用的攻击”。

安全研究人员称：“这个恶意软件似乎在技术上并不复杂，自其活动开始以来就使用现成的恶意软件，而没有开发自己的恶意软件。黑客还购买了允许在不被检测到的情况下使用此类恶意软件的加密器，多年来它使用了几种不同的加密器，主要是在在线论坛上购买的”。

这个黑客组织至少自 2013 年以来一直非常活跃，这些攻击涉及包含以航空或货运业为中心的特定诱饵文档的电子邮件，这些文档声称是 PDF 文件，但链接到托管在 Google Drive 上的 VBScript 文件，最终导致AsyncRAT 和 njRAT 等远程访问木马 (RAT) 的传播。Cisco Talos发现了 31 种不同的航空主题诱饵，这类恶意软件的历史可以追溯到 2018 年 8 月。

根据网络安全行业门户极牛网GEEKNB.COM的梳理，对与攻击中使用的不同域相关的活动的进一步分析表明，攻击者将多个 RAT 编织到他们的活动中，将基础设施用作 Cyber​​gate RAT、AsyncRAT 和批处理文件的命令和控制 (C2) 服务器作为恶意软件链的一部分来下载和执行其他恶意软件。

安全研究人员说：“许多黑客的技术知识有限，但仍然能够操作 RAT 或信息窃取者，在适当的条件下对大公司构成重大风险。在这种情况下，看似简单的活动实际上是一项持续运行三年的活动，针对整个行业使用伪装成不同密码器的现成恶意软件”。