16/02/22
В течение многих лет злоумышленники с низкой квалификацией использовали готовое вредоносное ПО во вредоносных кампаниях, нацеленных на предприятия авиационного сектора. Злоумышленники действуют как минимум с 2017 года, атакуя предприятия авиационной, аэрокосмической, транспортной, производственной и оборонной отраслей.
По словам специалистов ИБ-компании Proofpoint, группировка TA2541 действует из Нигерии, и ее деятельность была зафиксирована в предыдущих отдельных кампаниях. TA2541 полагается на вредоносные документы Microsoft Word для установки инструмента для удаленного доступа (RAT).
Типичная кампания вредоносного ПО данной группировки включает отправку от сотен до тысяч электронных писем в основном на английском языке сотням организаций по всему миру с повторяющимися целями в Северной Америке, Европе и на Ближнем Востоке.
Однако недавно группа переключилась с вредоносных вложений на ссылки на полезную нагрузку, размещенную в облачных сервисах, таких как Google Drive.
TA2541 использует не свои разработки, а стандартные вредоносные инструменты, доступные для покупки на киберпреступных форумах. По наблюдениям исследователей, инструменты AsyncRAT, NetWire, WSH RAT и Parallax пользуются наибольшей популярностью у группировки и чаще других используются во вредоносных сообщениях.
Все вредоносные программы, используемые в кампаниях TA2541, могут использоваться для сбора информации, но конечная цель злоумышленников на данный момент остается неизвестной.
Типичная цепочка атаки TA2541 начинается с отправки электронного письма, которое обычно связано с транспортом (например, рейсом, самолетом, топливом, яхтой, чартером, грузом) и содержит вредоносный документ.
«Группировка использует URL-адреса Google Диска в электронных письмах, которые ведут к обфусцированному файлу Visual Basic Script (VBS). При выполнении PowerShell-скрипт извлекает исполняемый файл из текстового файла, размещенного на различных платформах, таких как Pastetext, Sharetext и GitHub», — отметили специалисты.
На следующем этапе злоумышленники запускают PowerShell-скрипт в различные процессы Windows и ищет доступные продукты безопасности, запрашивая инструментарий управления Windows (WMI). Затем они пытаются отключить встроенную защиту и начинают собирать системную информацию перед загрузкой RAT на скомпрометированную систему.
