Yıllardır, düşük vasıflı bir saldırgan, havacılık sektöründeki şirketleri ve diğer hassas endüstrilerde şirketlere yönelik kötü amaçlı kampanyalarda rafta kötü amaçlı yazılımları kullanıyor.
Tehdit oyuncusu, en az 2017'den bu yana aktif olmuştur, havacılık, havacılık, ulaşım, üretim ve savunma endüstrisindeki varlıkları hedefleme.
TA2541 olarak izlenen Siber Güvenlik Şirketi Profuk noktası tarafından, rakip, Nijerya'dan çalıştığına inanılıyor ve aktivitesi ayrı kampanyaların analizinde daha önce belgelenmiştir.
Bir raporda, provoint, TA2541'in, uzaktan erişim aracı (sıçan) sunmak için kötü amaçlı Microsoft Word belgelerine dayanarak, TA2541'nin saldırı yöntemi hakkında tutarlı olduğunu belirtti.
Bu gruptan gelen tipik bir kötü amaçlı yazılım kampanyası, çoğunlukla İngilizce - "Kuzey Amerika, Avrupa ve Orta Doğu'daki yinelenen hedeflerle" yüzlerce kuruluşa "yüzlerce kuruluştan" yüzlerce "e-posta göndermeyi içerir."
Son zamanlarda, Grup, kötü amaçlı ataşmanlardan, Google Drive gibi bulut hizmetlerinde barındırılan bir yükleme yerine bağlanmasına geçti, provoint araştırmacıları söylüyor.
TA2541, özel kötü amaçlı yazılım kullanmaz, ancak sibercriminal forumlarda satın alınabilecek emtia kötü amaçlı araçlar. Araştırmacının gözlemlerine göre, Asyncrat, Netwire, WSH sıçan ve paralaks, Grup'un en sık sık kötü amaçlı mesajlarda zorlanıyor gibi görünüyor.
Prova noktası, TA2541 kampanyalarında kullanılan tüm kötü amaçlı yazılımların bilgi toplamak için kullanılabileceği, ancak tehdit aktörünün nihai hedefi şu anda bilinmemektedir.
Tipik bir TA2541 saldırı zinciri, genellikle ulaşımla (örneğin uçuş, uçak, yakıt, yat, kiralama, kargo) ile ilgili bir e-posta göndererek başlar ve kötü amaçlı bir belge sunar.
"Son kampanyalarda, ProFoint, bu grubu, Google Drive URL'lerini, şaşkın bir Visual Basic komut dosyasına (VBS) dosyasına yol açan e-postalarda kullandılar. Yürütülürse, PowerShell, PastETEXT, Sharetext, Github gibi çeşitli platformlarda barındırılan bir metin dosyasından yürütülebilir bir şekilde çeker "- ProvaPoint
Bir sonraki adımda, rakip, PowerShell'i çeşitli Windows işlemlerine uygular ve Windows Yönetim Enstrümantasyonunu (WMI) sorgulayarak mevcut güvenlik ürünlerini arar.
Ardından, yerleşik savunmaları devre dışı bırakmaya çalışır ve tehlikeli ana bilgisayardaki sıçan yükünü indirmeden önce sistem bilgilerini toplamaya başlar.
TA2541'in hedef seçimi göz önüne alındığında, faaliyeti farkedilmez ve diğer şirketlerden gelen güvenlik araştırmacılarının kampanyalarını [1, 2, 3] geçmişte, ancak tüm noktaları bağlamadan analiz etmemiştir.
Cisco Talos geçen yıl bir rapor hakkında bir rapor yayınladı. Araştırmacılar, aktörün en az beş yıldır aktif olduğu sonucuna varmışlardır.
Saldırıda kullanılan altyapı analizinden kaynaklanan kanıtlara dayanarak Cisco Talos, Coğrafi Konumunu Nijerya'ya bağlayan tehdit oyuncusu için bir profil oluşturabildi.
"Aktörün faaliyetlerini araştırırken, pasif DNS telemetrisini kullanarak, Akconsult.Linkpc.net etki alanı tarafından kullanılan IPS listesini derledik. Aşağıdaki grafik, IPS'nin yaklaşık yüzde 73'ünün Nijerya'ya dayandığını, söz konusu olan aktörün Nijerya'ya dayandığı teoriyi daha da güçlendirdiğini göstermektedir. " - Cisco Talos
Tek bir kampanyada, aktör, onlarca organizasyona birkaç bin e-posta gönderebilir ve belirli rolleri olan bireyler için uyarlanmış değildir. Bu, TA2541'in, yetenekli olmayan bir aktörün teorisini destekleyen, eylemlerinin gizliliği ile ilgilenmediğini göstermektedir.
Binlerce kuruluş bu "sprey-dua" saldırılarında, dünyadaki şirketler, havacılık, havacılık, ulaşım, üretim ve savunma endüstrilerinde şirketler sürekli bir hedef gibi görünmektedir.
TA2541'in taktikleri, teknikleri ve prosedürleri (TTPS) teknik olarak karmaşık olmayan bir rakip olsa bile, aktör çok fazla bayrak yetiştirmeden beş yıldan fazla bir süredir kötü amaçlı kampanyaları dağıtmayı başardı.
Bilgisayar korsanları diplomat'ın e-postasını devraldı, Rusça Bakanı Yardımcısı
Alman Govt APT27 Hacker'ların Backdooring Business Network'lerini uyardı
Android Malware BRATA Verileri çaldıktan sonra cihazınızı siler
Uzaktan erişim trojanlarını itmek için kullanılan kötü amaçlı PowerPoint dosyaları
Kimlik avı, GID MAERSK'yı Strrat Kötü Amaçlı Yazılımları itmek için taşıyın
Kaynak: Bleeping Computer