Especialistas alertam sobre grupo de hackers visando setores de aviação e defesa

fev 24, 2022

Entidades nas indústrias de aviação, aeroespacial, transporte, manufatura e defesa têm sido alvo de um grupo de ameaças persistentes desde pelo menos 2017 como parte de uma série de campanhas de spear phishing montadas para fornecer uma variedade de trojans de acesso remoto (RATs) em locais comprometidos. sistemas.

O uso de malware como AsyncRAT e NetWire, entre outros, levou a descobertas por especialistas de segurança a um “ator de ameaças cibercriminosas” de codinome TA2541 que emprega “direcionamento amplo com mensagens de alto volume”. O objetivo final das invasões ainda é desconhecido.

Como é de engenharia social usadas pelo grupo não se baseando em temas atuais, mas aproveitam mensagens de chamadas relacionadas à organização, logística, transporte e viagens. Dito isso mesmo, TA2541 na primavera ou distribuição de equipamentos de proteção individual (EPI) ou com o tema COVID-19.

“Embora o TA2415 em uma infraestrutura comportamental, como empresas combinadas, disfarçam-se métodos de acesso remoto para distribuir, outras táticas de entrega, e anexo de malware, URL, consistentes, consistentes”, disse um dos especialistas ao The Hacker News.

As campanhas historicamente utilizaram anexos do Microsoft Word carregados de macros para eliminar as cargas úteis do RAT, embora variantes recentes incluam links para serviços em nuvem que hospedam o malware. Diz-se que os ataques de phishing atingem centenas de organizações em todo o mundo, com alvos recorrentes observados na América do Norte, Europa e Oriente Médio.

Além do uso repetido dos mesmos temas, cadeias de infecção selecionadas também envolveram o uso de URLs de aplicativos Discord que apontam para arquivos compactados contendo malware AgentTesla ou Imminent Monitor, indicativo do uso malicioso de redes de entrega de conteúdo para distribuir implantes de coleta de informações para controle remoto máquinas comprometidas.

Total de mensagems por tipo de malware

“A mitigação de ameaças hospedadas em serviços legítimos continua sendo um vetor difícil de se defender, pois provavelmente envolve a implementação de uma pilha de detecção robusta ou bloqueio de serviços baseado em políticas que podem ser relevantes para os negócios”, disse um dos especialistas.

Outras técnicas de interesse empregadas pelo TA2541 incluem o uso de Virtual Private Servers (VPS) para sua infraestrutura de envio de e-mail e DNS dinâmico para atividades de comando e controle (C2).

Com a Microsoft anunciando planos para desativar macros por padrão para arquivos baixados da Internet a partir de abril de 2022, espera-se que a mudança faça com que os agentes de ameaças intensifiquem e mudem para outros métodos, caso as macros se tornem um método de entrega ineficiente.

“Enquanto os documentos do Office carregados de macros estão entre as técnicas mais usadas para baixar e executar cargas maliciosas, o abuso de serviços de hospedagem legítimos também já é generalizado”, explicou um dos especialistas.

“Além disso, observamos regularmente os agentes ‘contêinerizar’ cargas úteis, usando arquivos e arquivos de imagem (por exemplo, .ZIP, .ISO etc.) que também podem afetar a capacidade de detectar e analisar em alguns ambientes. Como sempre, os agentes de ameaças se voltarão para use o que é eficaz.”

REFERÊNCIAS:

https://thehackernews.com/2022/02/experts-warn-of-hacking-group-targeting.html

https://thehackernews.com/2022/01/hackers-use-cloud-services-to.html

https://www.proofpoint.com/us/blog/threat-insight/charting-ta2541s-flight