Entiteiten in de luchtvaart-, ruimtevaart-, transport-, productie- en defensie-industrie zijn sinds ten minste 2017 het doelwit van een hardnekkige dreigingsgroep als onderdeel van een reeks spear-phishing-campagnes die zijn opgezet om een verscheidenheid aan RAT’s (Remote Access Trojans) te leveren op gecompromitteerde systemen.
Het gebruik van standaardmalware zoals AsyncRAT en NetWire heeft ertoe geleid dat het beveiligingsbedrijf Proofpoint een “cybercriminele bedreigingsacteur” is geworden met de codenaam TA2541 die gebruikmaakt van ‘brede targeting met berichten met een hoog volume’. Het uiteindelijke doel van de inbraken is nog niet bekend.
De door de groep gebruikte lokaas voor social engineering is niet gebaseerd op actuele thema’s, maar maakt gebruik van lokberichten met betrekking tot luchtvaart, logistiek, transport en reizen. Dat gezegd hebbende, draaide TA2541 in het voorjaar van 2020 kort naar lokaas met COVID-19-thema, waarbij e-mails werden verspreid over vrachtzendingen van persoonlijke beschermingsmiddelen (PBM) of testkits.
“Hoewel TA2541 consistent is in sommige gedragingen, zoals het gebruik van e-mails die zich voordoen als luchtvaartmaatschappijen om trojans voor externe toegang te verspreiden, zijn andere tactieken, zoals bezorgmethode, bijlagen, URL’s, infrastructuur en malwaretype veranderd”, Sherrod DeGrippo, vice-president van bedreiging onderzoek en detectie bij Proofpoint, vertelde The Hacker News.
Terwijl eerdere versies van de campagne macro-beladen Microsoft Word-bijlagen gebruikten om de RAT-payload te verwijderen, bevatten recente aanvallen koppelingen naar cloudservices die de malware hosten. De phishing-aanvallen zouden wereldwijd honderden organisaties treffen, met terugkerende doelen in Noord-Amerika, Europa en het Midden-Oosten.
Afgezien van het herhaalde gebruik van dezelfde thema’s, hebben geselecteerde infectieketens ook het gebruik van Discord-app-URL’s met zich meegebracht die verwijzen naar gecomprimeerde bestanden die AgentTesla- of Imminent Monitor-malware bevatten, wat een indicatie is van het kwaadwillig gebruik van content delivery-netwerken voor het verspreiden van informatievergarende implantaten voor controle op afstand. gecompromitteerde machines.
“Het beperken van bedreigingen die worden gehost op legitieme services blijft een moeilijke vector om tegen te verdedigen, omdat het waarschijnlijk de implementatie van een robuuste detectiestack of op beleid gebaseerde blokkering van services omvat die mogelijk relevant zijn voor het bedrijf”, aldus DeGrippo.
Andere interessante technieken die door TA2541 worden gebruikt, zijn onder meer het gebruik van Virtual Private Servers (VPS) voor hun infrastructuur voor het verzenden van e-mail en dynamische DNS voor command-and-control (C2) activiteiten.
Nu Microsoft plannen aankondigt om vanaf april 2022 macro’s standaard uit te schakelen voor bestanden die via het internet zijn gedownload, wordt verwacht dat deze stap ervoor zal zorgen dat bedreigingsactoren opvoeren en overschakelen naar andere methoden als macro’s een inefficiënte leveringsmethode worden.
“Hoewel macro-beladen Office-documenten tot de meest gebruikte technieken behoren die leiden tot het downloaden en uitvoeren van kwaadaardige payloads, is misbruik van legitieme hostingdiensten ook al wijdverbreid”, legt DeGrippo uit.
“Verder observeren we regelmatig dat actoren payloads ‘containeriseren’, met behulp van archief- en afbeeldingsbestanden (bijv. .ZIP, .ISO, enz.) die ook van invloed kunnen zijn op het vermogen om te detecteren en te analyseren in sommige omgevingen. gebruik wat effectief is.”
