Entiteiten in de luchtvaart-, ruimtevaart-, transport-, productie- en defensie-industrie zijn sinds ten minste 2017 het doelwit van een hardnekkige dreigingsgroep als onderdeel van een reeks spear-phishing-campagnes die zijn opgezet om een verscheidenheid aan RAT's (Remote Access Trojans) te leveren op gecompromitteerde systemen.
Het gebruik van standaardmalware zoals AsyncRAT en NetWire heeft het beveiligingsbedrijf Proofpoint geleid tot een "cybercriminele bedreigingsacteur" met de codenaam TA2541 die gebruikmaakt van "brede targeting met berichten met een hoog volume". Het uiteindelijke doel van de inbraken is nog niet bekend.
Social engineering-lokmiddelen die door de groep worden gebruikt, zijn niet gebaseerd op actuele thema's, maar maken eerder gebruik van lokberichten met betrekking tot: luchtvaart, logistiek, transport en reizen. Dat gezegd hebbende, TA2541 draaide even om naar Kunstaas met COVID-19-thema in het voorjaar van 2020 het verspreiden van e-mails over vrachtzendingen van persoonlijke beschermingsmiddelen (PBM) of testkits.
"Hoewel TA2541 consistent is in sommige gedragingen, zoals het gebruik van e-mails die zich voordoen als luchtvaartmaatschappijen om trojans voor externe toegang te verspreiden, zijn andere tactieken zoals bezorgmethode, bijlagen, URL's, infrastructuur en malwaretype veranderd", aldus Sherrod DeGrippo, vice-president van Threat. onderzoek en detectie bij Proofpoint, vertelde The Hacker News.
Terwijl eerdere versies van de campagne macro-beladen Microsoft Word-bijlagen gebruikten om de RAT-payload te verwijderen, bevatten recente aanvallen koppelingen naar: cloud-diensten het hosten van de malware. De phishing-aanvallen zouden wereldwijd honderden organisaties treffen, met terugkerende doelen in Noord-Amerika, Europa en het Midden-Oosten.
Afgezien van het herhaalde gebruik van dezelfde thema's, hebben geselecteerde infectieketens ook het gebruik van Discord-app-URL's met zich meegebracht die verwijzen naar gecomprimeerde bestanden die AgentTesla- of Imminent Monitor-malware bevatten, wat een indicatie is van het kwaadwillig gebruik van content delivery-netwerken voor het verspreiden van informatievergarende implantaten voor controle op afstand. gecompromitteerde machines.
"Het beperken van bedreigingen die worden gehost op legitieme services blijft een moeilijke vector om tegen te verdedigen, omdat het waarschijnlijk de implementatie van een robuuste detectiestack of op beleid gebaseerde blokkering van services omvat die mogelijk relevant zijn voor het bedrijf", aldus DeGrippo.
Andere interessante technieken die door TA2541 worden gebruikt, zijn onder meer het gebruik van Virtual Private Servers (VPS) voor hun infrastructuur voor het verzenden van e-mail en dynamische DNS voor command-and-control (C2) activiteiten.
Nu Microsoft plannen aankondigt om: schakel macro's uit standaard voor via internet gedownloade bestanden vanaf april 2022, zal de verhuizing naar verwachting ertoe leiden dat bedreigingsactoren opvoeren en overschakelen naar andere methoden als macro's een inefficiënte leveringsmethode worden.
"Hoewel macro-beladen Office-documenten tot de meest gebruikte technieken behoren die leiden tot het downloaden en uitvoeren van kwaadaardige payloads, is misbruik van legitieme hostingdiensten ook al wijdverbreid", legt DeGrippo uit.
“Bovendien observeren we regelmatig dat actoren payloads 'containeriseren', gebruikmakend van archief- en afbeeldingsbestanden (bijv. .ZIP, .ISO, enz.) die ook van invloed kunnen zijn op het vermogen om te detecteren en te analyseren in sommige omgevingen. Zoals altijd zullen dreigingsactoren draaien om te gebruiken wat effectief is.
