Las entidades de las industrias de aviación, aeroespacial, transporte, fabricación y defensa han sido blanco de un grupo de amenazas persistentes desde al menos 2017 como parte de una serie de campañas de spear-phishing montadas para distribuir una variedad de troyanos de acceso remoto (RAT) en sitios comprometidos. sistemas
El uso de malware básico como AsyncRAT y NetWire, entre otros, ha llevado a la empresa de seguridad empresarial Proofpoint a convertirse en un «actor de amenazas cibernéticas» cuyo nombre en código es TA2541 que emplea una «orientación amplia con mensajes de gran volumen». El objetivo final de las intrusiones aún se desconoce.
Los señuelos de ingeniería social utilizados por el grupo no se basan en temas de actualidad, sino que aprovechan los mensajes de señuelo relacionados con la aviación, la logística, el transporte y los viajes. Dicho esto, TA2541 pasó brevemente a los señuelos con el tema de COVID-19 en la primavera de 2020, distribuyendo correos electrónicos sobre envíos de carga de equipo de protección personal (PPE) o kits de prueba.
«Si bien TA2541 es consistente en algunos comportamientos, como el uso de correos electrónicos que se hacen pasar por compañías de aviación para distribuir troyanos de acceso remoto, otras tácticas como el método de entrega, los archivos adjuntos, las URL, la infraestructura y el tipo de malware han cambiado», dijo Sherrod DeGrippo, vicepresidente de amenazas. investigación y detección en Proofpoint, dijo a The Hacker News.
Si bien las versiones anteriores de la campaña utilizaron archivos adjuntos de Microsoft Word cargados de macros para eliminar la carga útil de RAT, los ataques recientes incluyen enlaces a servicios en la nube que alojan el malware. Se dice que los ataques de phishing afectan a cientos de organizaciones en todo el mundo, con objetivos recurrentes observados en América del Norte, Europa y Oriente Medio.
Dejando a un lado el uso repetido de los mismos temas, cadenas de infección seleccionadas también han implicado el uso de URL de la aplicación Discord que apuntan a archivos comprimidos que contienen malware AgentTesla o Imminent Monitor, indicativo del uso malicioso de redes de entrega de contenido para distribuir implantes de recopilación de información para controlar de forma remota máquinas comprometidas.
«Mitigar las amenazas alojadas en servicios legítimos sigue siendo un vector contra el que es difícil defenderse, ya que probablemente implique la implementación de una pila de detección robusta o el bloqueo de servicios basado en políticas que podrían ser relevantes para el negocio», dijo DeGrippo.
Otras técnicas de interés empleadas por TA2541 incluyen el uso de servidores privados virtuales (VPS) para su infraestructura de envío de correo electrónico y DNS dinámico para actividades de comando y control (C2).
Con Microsoft anunciando planes para desactivar las macros de forma predeterminada para los archivos descargados de Internet a partir de abril de 2022, se espera que la medida provoque que los actores de amenazas den un paso al frente y cambien a otros métodos en caso de que las macros se conviertan en un método de entrega ineficiente.
«Si bien los documentos de Office cargados de macros se encuentran entre las técnicas más utilizadas que conducen a la descarga y ejecución de cargas maliciosas, el abuso de los servicios de alojamiento legítimos también está muy extendido», explicó DeGrippo.
«Además, observamos regularmente a los actores ‘contenerizar’ cargas útiles, utilizando archivos de archivo e imagen (p. ej., .ZIP, .ISO, etc.) que también pueden afectar la capacidad de detección y análisis en algunos entornos. Como siempre, los actores de amenazas se centrarán en usa lo que es efectivo».
