Una campaña de malware llamada ‘Beebus’ que ataca específicamente a industrias espaciales y de defensa de los Estados Unidos fue descubierta por los investigadores de seguridad de FireEye. ‘Beebus’ está diseñada para robar información y comienza infiltrándose, como muchos ataques lo hacen, con spear-phishing vía correo electrónico.

La operación Beebus está muy relacionada con la Operación Shady RAT, detectada en abril de 2011. Los ataques llevados a cabo por el ataque spear phishing descargan un controlador que infecta a los usuarios finales. Los whitepapers maliciosos o archivos PDF se enviaron por correo a los objetivos aprovechando fallas ya conocidas, el malware fue capaz de instalar una puerta trasera de un troyano en los sistemas vulnerables. El malware se comunica con un servidor de comando y control de forma remota (C&C).

FireEye descubrió los ataques contra algunos de sus clientes en la industria aeroespacial y de defensa en marzo pasado, la vulnerabilidad en el sistema operativo Windows conocida como DLL search order hijacking (busqueda hijacking de DLL) fue utilizada para instalar una DLL llamada ntshrui.DLL en el directorio C:\Windows.

Beebus cuenta con módulos para capturar información del sistema como el procesador, disco, memoria, sistema operativo, identificador de procesos, hora de inicio del proceso y la información del usuario actual, además de otro módulo para descargar y ejecutar cargas adicionales y actualizaciones.

El PDF original fue trabajado mediante la herramienta Ghostscript para hacer PDFs modificados. Los investigadores creen que Beebus es una campaña china debido a sus similitudes con la Operación Shady RAT.

Los atacantes de Beebus también utilizaron un TTP (siglas en inglés de: Herramientas, Técnicas y Procedimientos) idéntico al ataque a RSA. Los investigadores creen que al grupo llamado "Grupo de Observación" o "Equipo de Observación" (Comment Group), asociado con el gobierno chino está detrás de la campaña Beebus.