多年來,一名技術(shù)并不高的黑客一直利用現(xiàn)成可用惡意軟件,攻擊航空航天和其它敏感行業(yè)中企業(yè)。Proofpoint 公司將該攻擊者命名為 “TA2541”。
TA2541至少活躍于2017年,攻擊的實(shí)體位于航空、航天、運(yùn)輸、制造和國防行業(yè)。TA2541 被指在尼日利亞發(fā)動(dòng)攻擊,之前分析其它攻擊活動(dòng)時(shí)就曾被記錄過。
攻擊并不復(fù)雜
Proofpoint 公司發(fā)布報(bào)告稱,TA2541 的攻擊方法一致,依靠惡意微軟 Word 文檔傳播遠(yuǎn)程訪問木馬。
TA2541 攻擊方法涉及向“全球數(shù)百家組織機(jī)構(gòu)”發(fā)送“數(shù)百到數(shù)千份”郵件(多數(shù)為英文郵件),“攻擊目標(biāo)位于北美、歐洲和中東”。不過,最近該黑客從惡意附件轉(zhuǎn)向托管在云服務(wù)如 Google Drive 等的payload 連接。
該黑客并不使用自定義惡意軟件而是可在網(wǎng)絡(luò)犯罪論壇上購買的商用惡意工具。研究人員發(fā)現(xiàn),該攻擊者使用最多的惡意軟件是 AsyncRAT、NetWire、WSH RAT 和 Parallax。研究人員指出,雖然攻擊者使用的所有惡意軟件都是為了收集信息,不過其最終目的尚無法知曉。
典型的攻擊鏈?zhǔn)前l(fā)送通常與交通(如航班、燃油、游艇、貨物等)相關(guān)的郵件并傳播惡意文檔。接著,攻擊者在多個(gè) Windows 進(jìn)程中執(zhí)行 PowerShell并通過查詢 WMI而查找可用的安全產(chǎn)品。然后,嘗試禁用內(nèi)置防護(hù)措施并開始收集系統(tǒng)信息,之后將RAT payload 下載到受陷主機(jī)上。
鑒于 TA2541 的攻擊目標(biāo)情況,其攻擊活動(dòng)被發(fā)現(xiàn),其它安全公司過去曾就此進(jìn)行分析但并未連點(diǎn)成線。思科Talos 團(tuán)隊(duì)曾在去年發(fā)布一份報(bào)告稱,該黑客通過 AsyncRAT 攻擊航空行業(yè),認(rèn)為該黑客至少已活躍5年。從分析攻擊中所用基礎(chǔ)設(shè)施的證據(jù)來看,思科Talos對(duì)黑客進(jìn)行了畫像,認(rèn)為其地理位置是在尼日利亞。
在單個(gè)攻擊活動(dòng)中,該攻擊者可向數(shù)十個(gè)組織機(jī)構(gòu)發(fā)送數(shù)千份郵件,而非為特定角色定制化惡意軟件。這表明 TA2541并不關(guān)注攻擊的隱秘性,進(jìn)一步說明該黑客是非技術(shù)黑客。
雖然數(shù)千家組織機(jī)構(gòu)遭此類攻擊,但實(shí)際上在全球范圍內(nèi),航空、航天、交通、制造和國防行業(yè)似乎是一個(gè)永恒的攻擊面。即使 TA2541 的 TTPs 表明它并非復(fù)雜攻擊者,但它仍然設(shè)法在超過5年的時(shí)間里發(fā)動(dòng)惡意活動(dòng)且并未引起太多注意。