研究人員已經(jīng)確定了一個高級持續(xù)威脅(APT)組織，該組織負(fù)責(zé)至少自2017年以來針對航空、航天、運(yùn)輸和國防行業(yè)的一系列網(wǎng)絡(luò)間諜和間諜軟件攻擊，其中包括使用行業(yè)特定誘餌的大量電子郵件活動。

Proofpoint周二發(fā)布的一份新報告顯示，據(jù)研究人員稱，這個被研究人員稱為TA2541的組織通常會發(fā)送數(shù)十萬條惡意消息——幾乎都是英文——最終使用商品惡意軟件傳遞遠(yuǎn)程訪問木馬(RAT)有效載荷，以從受害者的機(jī)器和網(wǎng)絡(luò)中收集數(shù)據(jù)。研究人員表示，這些活動影響了全球數(shù)百個組織，其目標(biāo)反復(fù)出現(xiàn)在北美、歐洲和中東。

盡管至少自2019年以來，各種研究人員(包括Microsoft、Mandiant、Cisco Talos、Morphisec等)已經(jīng)對該組織的一些攻擊進(jìn)行了跟蹤，但Proofpoint的最新研究分享了“在一個我們稱之為TA2541的威脅活動集群下，公共和私人數(shù)據(jù)之間的綜合細(xì)節(jié)”。

事實上，之前報道的與TA2541相關(guān)的攻擊包括一場為期兩年的針對航空業(yè)的間諜軟件運(yùn)動，該運(yùn)動使用了AsyncRAT，名為“Layour over”，并于去年9月由Cisco Talos發(fā)現(xiàn)，以及一場針對航空目標(biāo)的網(wǎng)絡(luò)間諜運(yùn)動，其中包括微軟去年5月披露的RevengeRAT或AsyncRAT。

五年了，依在繼續(xù)

Proofpoint于2017年首次開始跟蹤攻擊者，當(dāng)時其選擇的策略是發(fā)送帶有下載RAT有效負(fù)載的“包含宏的Microsoft Word附件”的消息。該報告稱，該組織此后調(diào)整了這一策略，現(xiàn)在最常發(fā)送帶有云服務(wù)鏈接的消息，例如托管有效負(fù)載的Google Drive或OneDrive。

然而，Proofpoint威脅研究與檢測副總裁Sherrod DeGrippo表示，盡管他們隱藏惡意負(fù)載的方法各不相同，但該組織在選擇目標(biāo)、誘餌和使用的負(fù)載類型方面基本保持一致。

“關(guān)于TA2541值得注意的是，他們對網(wǎng)絡(luò)犯罪的態(tài)度幾乎沒有改變，反復(fù)使用相同的主題(通常與航空、航天和運(yùn)輸有關(guān))來傳播遠(yuǎn)程訪問特洛伊木馬，”她在一封電子郵件中說到威脅帖，“這個群體對整個運(yùn)輸、物流和旅游行業(yè)的目標(biāo)構(gòu)成持續(xù)威脅。”

就使用哪些特定RAT而言，攻擊者利用了各種唾手可得的工具——即可在犯罪論壇上購買或在開源存儲庫中獲得的商品惡意軟件。研究人員說，目前，TA2541更喜歡將AsyncRA 放在受害者的機(jī)器上，但也會使用NetWire、WSH RAT和Parallax。

到目前為止，該組織分發(fā)的所有惡意軟件都旨在收集信息并獲得對受感染機(jī)器的遠(yuǎn)程控制，研究人員承認(rèn)除了最初的妥協(xié)，他們不知道威脅行為人的“最終目的和目標(biāo)”。

典型的惡意電子郵件

研究人員表示，TA2541活動中的典型惡意消息使用與其所針對的特定行業(yè)之一相關(guān)的某種物流或運(yùn)輸主題相關(guān)的誘餌。

報告稱：“在幾乎所有觀察到的活動中，TA2541都使用了包括飛行、飛機(jī)、燃料、游艇、包機(jī)等運(yùn)輸相關(guān)術(shù)語在內(nèi)的誘餌主題。”

例如，研究人員披露了一封冒充一家航空公司的電子郵件，要求提供有關(guān)飛機(jī)部件的信息，以及另一封，要求提供有關(guān)如何在門診航班上用擔(dān)架運(yùn)送醫(yī)療病人的信息。

研究人員指出，COVID-19大流行于2020年3月爆發(fā)之后，該組織就略微改變了誘餌策略，并且像許多其他威脅行為者一樣，采用了與其貨物和航班細(xì)節(jié)的總體主題一致的COVID相關(guān)誘餌。

研究人員指出：“例如，他們分發(fā)了與個人防護(hù)設(shè)備(PPE)或COVID-19測試套件的貨物運(yùn)輸相關(guān)的誘餌。”

然而，這種轉(zhuǎn)變是短暫的，他們補(bǔ)充說，TA2541很快就恢復(fù)了其更通用的、與交通相關(guān)的電子郵件主題。

當(dāng)前的攻擊向量

研究人員表示，在Proofpoint觀察到的當(dāng)前活動中，如果受害者上鉤，他們通常會被引導(dǎo)點(diǎn)擊Google Drive URL，該URL會導(dǎo)致混淆的Visual Basic Script(VBS)文件。

研究人員寫道：“如果執(zhí)行，PowerShell會從托管在各種平臺(如Pastetext、Sharetext和GitHub)上的文本文件中提取可執(zhí)行文件。” “威脅行為者在各種Windows進(jìn)程中執(zhí)行PowerShell，并查詢Windows Management Instrumentation(WMI)以獲取防病毒和防火墻軟件等安全產(chǎn)品，并嘗試禁用內(nèi)置的安全保護(hù)。”

報告稱，TA2541通過這種方式收集系統(tǒng)信息，然后將RAT下載到主機(jī)上。

研究人員表示，Google Drive一直是威脅組織的一貫工具，但偶爾TA2541也會使用OneDrive來托管惡意VBS文件。研究人員表示，在2021年末，Proofpoint還觀察到該組織使用DiscordApp URL鏈接到壓縮文件，導(dǎo)致AgentTesla或Imminent Monitor作為攻擊向量。事實上，Discord內(nèi)容交付網(wǎng)絡(luò)(CDN)已成為威脅參與者使用合法且流行的應(yīng)用程序進(jìn)行惡意目的的一種越來越流行的方式。

他們補(bǔ)充說，有時TA2541還會使用電子郵件附件而不是基于云的服務(wù)鏈接，包括壓縮的可執(zhí)行文件，例如帶有嵌入式可執(zhí)行文件的RAR附件，其中包含指向托管惡意軟件有效負(fù)載的CDN的URL。

本文翻譯自：https://threatpost.com/ta2541-apt-rats-aviation/178422/