AeroBlade网络攻击：美国航天行业的网络安全挑战

关键要点

• AeroBlade攻击通过针对美国一航天组织进行钓鱼攻击，显示出公司在网络安全方面的不足。
• 专家指出，航天和关键基础设施行业需采取四项基本步骤来防范钓鱼攻击。
• 攻击者利用了一种复杂的远程模板注入技术和恶意VBA宏代码。
• 此次攻击显示了攻击者的耐心与资源，及其对潜在数据的深入侦察。

近期消息显现，被称为AeroBlade的威胁行为者通过对美国航天组织实施钓鱼攻击进行间谍活动，网络安全专家对此深感忧虑，认为美国企业依旧没有吸取网络安全的基本教训。

“这是一个极好的例子，表明世界仍然没有真正重视网络安全，” KnowBe4的数据显示网络防御倡导者RogerGrimes表示。“航天业是一个，它的网络安全应该和其他组织一样强大。然而，钓鱼攻击——这种存在超过三十年的手段，依旧被不断成功地利用。”

Grimes指出，航天行业和其他关键行业需要采取四项基本措施来防止这些钓鱼攻击：积极的反社交工程培训、100%一致的补丁更新、抗钓鱼的多因素身份验证和强密码政策。“如果航天行业采取这四项措施，像AeroBlade这样的威胁将不会继续成功，”Grimes说。

在中，BlackBerry的威胁研究和情报团队解释称，这次钓鱼攻击是通过一个武器化文档作为电子邮件附件发送的，该文档包含一个嵌入的远程模板注入技术和恶意的VBA宏代码。

研究人员表示，证据表明攻击者的网络基础设施和武器化过程在2022年9月左右开始运作。BlackBerry以“中到高的信心”评估认为攻击的进攻阶段发生在2023年7月。

以下是研究人员描述攻击执行的方式（见下图）：一个名为

这些攻击为何比看上去更复杂

Critical Start的网络威胁研究高级经理CallieGuenther解释称，初始攻击与随后的进攻阶段之间近一年的时间差表明攻击者正在开发和精炼他们的工具和策略。Guenther表示，这表明了他们的高投入和资源，通常是国家赞助或高度组织的犯罪团体的特征。

Guenther补充道，这些攻击的严重性在于它们的复杂性、针对性及其对关键基础设施和敏感信息的潜在影响。尽管初始攻击向量是一个目标明确的电子邮件欺诈，但所使用的武器化文档则采用了远程模板注入技术，这比传统的钓鱼攻击要复杂得多。Guenther表示，这一技术涉及从远程服务器检索载荷，当受害者在MicrosoftWord文档中启用宏时，该载荷便会被执行。

“这是一种聪明的方法，可以绕过一些可能拦截更直接恶意附件的安全措施，”Guenther说。

远程模板注入涉及部署一个作为反向Shell的DLL，Guenther解释说。它是一种通过迫使系统打开一个端口并与命令与控制服务器通信来获得对系统控制的方法，使攻击者能够远程在受害者机器上执行命令。Guenther表示，该恶性软件具有枚举目录的能力，显示其侦查努力。

“这在间谍活动中是典型的，攻击者首先评估