Um grupo de hackers criminosos desconhecido está atacando organizações nas indústrias de aviação, aeroespacial, defesa, transporte e manufatura com malware trojan, em ataques que os pesquisadores dizem estar acontecendo há anos.
Apelidado de TA2541 e detalhado por pesquisadores de segurança cibernética da Proofpointa operação cibercriminosa persistente está ativa desde 2017 e comprometeu centenas de organizações na América do Norte, Europa e Oriente Médio.
Apesar de durar anos, os ataques mal evoluíram, seguindo amplamente o mesmo direcionamento e temas em que os invasores controlam remotamente máquinas comprometidas, realizam reconhecimento em redes e roubam dados confidenciais.
VEJO: Uma estratégia vencedora para a segurança cibernética (relatório especial ZDNet)
“O que chama a atenção no TA2541 é o quão pouco eles mudaram sua abordagem ao cibercrime nos últimos cinco anos, usando repetidamente os mesmos temas, muitas vezes relacionados à aviação, aeroespacial e transporte, para distribuir trojans de acesso remoto”, disse Sherrod DeGrippo, vice-presidente presidente de pesquisa e detecção de ameaças da Proofpoint.
“Este grupo é uma ameaça persistente para alvos em todos os setores de transporte, logística e viagens.”
Os ataques começam com e-mails de phishing projetados para serem relevantes para indivíduos e empresas nos setores visados. Por exemplo, uma isca enviada para alvos na aviação e aeroespacial se assemelha a solicitações de peças de aeronaves, enquanto outra é projetada para parecer uma solicitação urgente de detalhes de voos de ambulância aérea. A certa altura, os atacantes introduziram iscas com tema COVID-19, embora logo tenham sido descartadas.
Embora as iscas não sejam altamente personalizadas e sigam modelos regulares, o grande número de mensagens enviadas ao longo dos anos – centenas de milhares no total – e sua urgência implícita serão suficientes para enganar as vítimas e fazer o download de malware. As mensagens são quase sempre em inglês.
O TA2541 inicialmente enviou e-mails contendo anexos do Microsoft Word carregados de macros que baixavam a carga útil do Remote Access Trojan (RAT), mas o grupo mudou recentemente para usar URLs do Google Drive e Microsoft OneDrive, que levam a um arquivo Visual Basic Script (VBS) ofuscado.
A interação com esses arquivos – cujos nomes seguem temas semelhantes às iscas iniciais – aproveitará as funções do PowerShell para baixar malware em máquinas Windows comprometidas.
Os criminosos cibernéticos distribuíram mais de uma dúzia de cargas úteis de malware trojan desde o início das campanhas, todas disponíveis para compra em fóruns da dark web ou podem ser baixadas de repositórios de código aberto.
Atualmente, o malware mais comumente distribuído nas campanhas TA2541 é o AsyncRAT, mas outras cargas populares incluem NetWire, WSH RAT e Parallax.
Não importa qual malware seja entregue, ele é usado para obter controle remoto de máquinas infectadas e roubar dados, embora os pesquisadores observem que ainda não sabem qual é o objetivo final do grupo ou de onde estão operando.
A campanha ainda está ativa e foi avisado que os invasores continuarão distribuindo e-mails de phishing e entregando malware às vítimas em todo o mundo.
MAIS SOBRE CIBERSEGURANÇA
source – www.zdnet.com
