研究人员已经确定了一个高级持续威胁(APT)组织,该组织负责至少自2017年以来针对航空、航天、运输和国防行业的大量网络间谍和间谍活动软件攻击,其中包括使用特定行业的诱饵进行群发电子邮件活动。根据Proofpoint周二的一份新报告,这个被研究人员称为TA2541的组织经常发送数十万条恶意消息——几乎全部是英文——最终使用商品恶意软件来提供远程访问木马。(RAT)有效载荷从受害者的机器和网络收集数据。研究人员表示,这些活动影响了全球数百个组织,目标在北美、欧洲和中东反复出现。虽然至少自2019年以来,各种研究人员(包括Microsoft、Mandiant、CiscoTalos、Morphisec等)都跟踪了针对该组织的多次攻击,但Proofpoint的最新研究分享了“威胁活动集群下公共和私人数据之间的综合细节”.事实上,之前报道的与TA2541相关的攻击包括针对航空业的为期两年的间谍软件活动,该活动使用AsyncRAT,被称为“Layourover”,并于去年9月被CiscoTalos发现,以及针对空中目标的网络间谍活动,包括RevengeRAT,或AsyncRAT,微软去年五月披露。五年过去了,仍在继续Proofpoint于2017年首次开始跟踪攻击者,当时其选择的策略是发送带有下载RAT负载的“包含宏的MicrosoftWord附件”的消息。报告称,该组织此后调整了这一策略,现在最常发送带有云服务链接的消息,例如托管有效负载的GoogleDrive或OneDrive。然而,根据Proofpoint威胁研究和检测副总裁SherrodDeGrippo的说法,虽然他们隐藏恶意负载的方法各不相同,但该组织在选择目标、诱饵和使用的负载类型方面基本保持一致。“TA2541值得注意的是,他们对网络犯罪的态度几乎没有改变,反复使用相同的主题(通常与航空、航天和交通有关)来传播远程访问木马,”她在电子邮件威胁帖子中说,“这个团体对运输、物流和旅游业的目标构成持续威胁。“就使用哪些特定RAT而言,攻击者利用了各种唾手可得的果实——可以在犯罪论坛上购买或在开源存储库中获得的商品恶意软件。目前,TA2541更喜欢使用放置在受害者身上的AsyncRA'机器,但也使用NetWire、WSHRAT和Parallax。研究人员承认,到目前为止,该组织分发的所有恶意软件都旨在收集信息并远程控制受感染的机器,除了最初的妥协,他们不知道威胁行为者的“最终目的和目标”。典型的恶意电子邮件研究人员表示,TA2541活动中的典型恶意邮件使用与他们针对的特定行业之一相关的某种物流或航运主题相关诱饵。“在几乎所有观察到的活动中,TA2541使用诱饵主题,包括与运输相关的术语,例如航班、飞机、燃料、游艇、包机等,”报告称。例如,研究人员披露了一封电子邮件,冒充一家航空公司索取有关飞机部件的信息,另一封索取有关门诊航班上如何用担架运送医疗患者的信息。研究人员指出,在2020年3月COVID-19大流行爆发后,该组织略微改变了诱饵策略,与许多其他威胁行为者一样,使用了与其货物和航班细节的总体主题一致的COVID相关诱饵,研究人员注意到。:“例如,他们分发与个人防护设备(PPE)或COVID-19运输相关的诱饵测试套件。然而,他们补充说,这种转变是短暂的,TA2541很快恢复到更通用、与流量相关的电子邮件主题行。当前的攻击向量在Proofpoint观察到的当前活动中,研究人员表示,如果受害者上钩,他们通常会被引导点击GoogleDriveURL,这会导致混淆的VisualBasicSc??ript(VBS)文件。“如果执行,PowerShell会从托管在各种平台上的文件中提取信息,例如Pastetext,从Sharetext和GitHub上的文本文件中提取可执行文件。”威胁行为者在各种Windows进程中执行PowerShell并查询WindowsManagementInstrumentation(WMI)以获取安全产品例如防病毒和防火墙软件,并试图禁用内置的安全保护。”据报道,TA2541通过这种方式收集系统信息,然后将RAT下载到主机。研究人员表示,GoogleDrive一直是威胁组织的常用工具,但TA2541偶尔也会使用OneDrive来托管恶意VBS文件。研究人员表示,2021年底,Proofpoint还观察到该组织使用DiscordAppURL链接到压缩文件,导致AgentTesla或ImminentMonitor作为攻击媒介。事实上,Discord内容分发网络(CDN)已成为威胁行为者将合法和流行的应用程序用于恶意目的的一种越来越流行的方式。他们补充说,TA2541有时还使用电子邮件附件而不是指向基于云的服务的链接,包括压缩的可执行文件,例如带有嵌入式可执行文件的RAR附件,其中包含指向托管恶意软件有效负载的CDN的链接。网址。本文翻译自:https://threatpost.com/ta2541-apt-rats-aviation/178422/如有转载请注明出处。
