《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 黑客購買惡意軟件攻擊航空航天和交通行業(yè),潛伏超過5年

黑客購買惡意軟件攻擊航空航天和交通行業(yè),潛伏超過5年

2022-03-20
來源:互聯(lián)網(wǎng)安全內(nèi)參
關(guān)鍵詞: 惡意軟件 航空航天

  多年來,一名技術(shù)并不高的黑客一直利用現(xiàn)成可用惡意軟件,攻擊航空航天和其它敏感行業(yè)中企業(yè)。Proofpoint 公司將該攻擊者命名為 “TA2541”。

  TA2541至少活躍于2017年,攻擊的實(shí)體位于航空、航天、運(yùn)輸、制造和國防行業(yè)。TA2541 被指在尼日利亞發(fā)動(dòng)攻擊,之前分析其它攻擊活動(dòng)時(shí)就曾被記錄過。

  攻擊并不復(fù)雜

  Proofpoint 公司發(fā)布報(bào)告稱,TA2541 的攻擊方法一致,依靠惡意微軟 Word 文檔傳播遠(yuǎn)程訪問木馬。

  TA2541 攻擊方法涉及向“全球數(shù)百家組織機(jī)構(gòu)”發(fā)送“數(shù)百到數(shù)千份”郵件(多數(shù)為英文郵件),“攻擊目標(biāo)位于北美、歐洲和中東”。不過,最近該黑客從惡意附件轉(zhuǎn)向托管在云服務(wù)如 Google Drive 等的payload 連接。

  該黑客并不使用自定義惡意軟件而是可在網(wǎng)絡(luò)犯罪論壇上購買的商用惡意工具。研究人員發(fā)現(xiàn),該攻擊者使用最多的惡意軟件是 AsyncRAT、NetWire、WSH RAT 和 Parallax。研究人員指出,雖然攻擊者使用的所有惡意軟件都是為了收集信息,不過其最終目的尚無法知曉。

  典型的攻擊鏈?zhǔn)前l(fā)送通常與交通(如航班、燃油、游艇、貨物等)相關(guān)的郵件并傳播惡意文檔。接著,攻擊者在多個(gè) Windows 進(jìn)程中執(zhí)行 PowerShell并通過查詢 WMI而查找可用的安全產(chǎn)品。然后,嘗試禁用內(nèi)置防護(hù)措施并開始收集系統(tǒng)信息,之后將RAT payload 下載到受陷主機(jī)上。

  鑒于 TA2541 的攻擊目標(biāo)情況,其攻擊活動(dòng)被發(fā)現(xiàn),其它安全公司過去曾就此進(jìn)行分析但并未連點(diǎn)成線。思科Talos 團(tuán)隊(duì)曾在去年發(fā)布一份報(bào)告稱,該黑客通過 AsyncRAT 攻擊航空行業(yè),認(rèn)為該黑客至少已活躍5年。從分析攻擊中所用基礎(chǔ)設(shè)施的證據(jù)來看,思科Talos對(duì)黑客進(jìn)行了畫像,認(rèn)為其地理位置是在尼日利亞。

  在單個(gè)攻擊活動(dòng)中,該攻擊者可向數(shù)十個(gè)組織機(jī)構(gòu)發(fā)送數(shù)千份郵件,而非為特定角色定制化惡意軟件。這表明 TA2541并不關(guān)注攻擊的隱秘性,進(jìn)一步說明該黑客是非技術(shù)黑客。

  雖然數(shù)千家組織機(jī)構(gòu)遭此類攻擊,但實(shí)際上在全球范圍內(nèi),航空、航天、交通、制造和國防行業(yè)似乎是一個(gè)永恒的攻擊面。即使 TA2541 的 TTPs 表明它并非復(fù)雜攻擊者,但它仍然設(shè)法在超過5年的時(shí)間里發(fā)動(dòng)惡意活動(dòng)且并未引起太多注意。




微信圖片_20220318121103.jpg

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。