Για χρόνια, η ομάδα χαμηλής ειδίκευσης TA2541 χρησιμοποιεί malware σε κακόβουλες εκστρατείες που απευθύνονται σε εταιρείες στον τομέα της αεροπορίας καθώς και σε άλλους ευαίσθητους κλάδους.
Δείτε επίσης: Η μάρκα αθλητικών Mizuno έπεσε θύμα επίθεσης ransomware
Ο απειλητικός παράγοντας δραστηριοποιείται τουλάχιστον από το 2017, στοχεύοντας οντότητες στον κλάδο της αεροπορίας, της αεροδιαστημικής, των μεταφορών, της μεταποίησης και της αμυντικής βιομηχανίας.
Η ομάδα TA2541 (όπως τον έχει ονομάσει η εταιρεία κυβερνοασφάλειας Proofpoint), πιστεύεται ότι δρα από τη Νιγηρία και η δραστηριότητά του έχει τεκμηριωθεί στο παρελθόν σε ανάλυση ξεχωριστών εκστρατειών.
Μη εξελιγμένες επιθέσεις
Σε μια σημερινή αναφορά, η Proofpoint σημειώνει ότι ο απειλητικός παράγοντας TA2541 ήταν συνεπής σχετικά με τη μέθοδο επίθεσης, βασιζόμενο σε κακόβουλα έγγραφα του Microsoft Word για την παροχή ενός εργαλείου απομακρυσμένης πρόσβασης (RAT).
Μια τυπική καμπάνια malware από αυτήν την ομάδα περιλαμβάνει την αποστολή “εκατοντάδων έως χιλιάδων” email – κυρίως στα αγγλικά – σε “εκατοντάδες οργανισμούς παγκοσμίως, με επαναλαμβανόμενους στόχους στη Βόρεια Αμερική, την Ευρώπη και τη Μέση Ανατολή”.
Δείτε επίσης: Ουκρανία: Λέει ότι είναι στόχος «μαζικού κύματος υβριδικού πολέμου»
Πρόσφατα, ωστόσο, η ομάδα άλλαξε από κακόβουλα συνημμένα στη σύνδεση με ένα payload που φιλοξενείται σε υπηρεσίες cloud όπως το Google Drive, λένε οι ερευνητές της Proofpoint.
Η ομάδα TA2541 δεν χρησιμοποιεί προσαρμοσμένο malware, αλλά κακόβουλα εργαλεία commodity που είναι διαθέσιμα για αγορά σε φόρουμ για κυβερνοεγκλήματα. Σύμφωνα με τις παρατηρήσεις του ερευνητή, τα AsyncRAT, NetWire, WSH RAT και Parallax φαίνεται να είναι τα αγαπημένα της ομάδας που προωθούνται συχνότερα σε κακόβουλα μηνύματα.
Το Proofpoint υπογραμμίζει ότι το malware που χρησιμοποιείται σε καμπάνιες TA2541 μπορεί να χρησιμοποιηθεί για τη συλλογή πληροφοριών, αλλά ο τελικός στόχος του απειλητικού παράγοντα προς το παρόν παραμένει άγνωστος.
Μια τυπική αλυσίδα επίθεσης TA2541 ξεκινά με την αποστολή ενός email που συνήθως σχετίζεται με το transportation και παραδίδει ένα κακόβουλο έγγραφο.
Στο επόμενο βήμα, εκτελεί το PowerShell σε διάφορες διεργασίες των Windows και αναζητά διαθέσιμα προϊόντα ασφαλείας υποβάλλοντας ερωτήματα στα Windows Management Instrumentation (WMI).
Στη συνέχεια, προσπαθεί να απενεργοποιήσει τις ενσωματωμένες άμυνες και αρχίζει να συλλέγει πληροφορίες συστήματος πριν από τη λήψη του payload RAT στον παραβιασμένο host.
Δείτε επίσης: BlackCat: Ανέλαβε την ευθύνη για την ransomware επίθεση στην Swissport
Δεδομένης της επιλογής στόχων του TA2541, η δραστηριότητά του δεν πέρασε απαρατήρητη και ερευνητές ασφαλείας από άλλες εταιρείες ανέλυσαν τις καμπάνιες του στο παρελθόν, αλλά χωρίς να συνδέσουν όλα τα στοιχεία.
Η Cisco Talos δημοσίευσε μια έκθεση πέρυσι σχετικά με μια εκστρατεία TA2541 που στοχεύει τον κλάδο των αερομεταφορών με το AsyncRAT. Οι ερευνητές κατέληξαν στο συμπέρασμα ότι ο απειλητικός παράγοντας ήταν ενεργός για τουλάχιστον πέντε χρόνια.
Με βάση στοιχεία από την ανάλυση της υποδομής που χρησιμοποιήθηκε στην επίθεση, η Cisco Talos μπόρεσε να δημιουργήσει ένα προφίλ για τον απειλητικό παράγοντα, συνδέοντας τη γεωγραφική του θέση με τη Νιγηρία.
Ακόμα κι αν οι τακτικές, οι τεχνικές και οι διαδικασίες (TTP) του TA2541 περιγράφουν κάποιον που δεν είναι τεχνικά εξελιγμένος, ο απειλητικός παράγοντας κατάφερε να αναπτύξει κακόβουλες καμπάνιες για περισσότερα από πέντε χρόνια χωρίς να τραβήξει και πολλά βλέματα.
Πηγή πληροφοριών: bleepingcomputer.com
