航空领域遭受持续五年的恶意攻击

研究人员已经确定了一个高级持续威胁(APT)组织，该组织负责至少自2017年以来针对航空、航天、运输和国防行业的一系列网络间谍和间谍软件攻击，其中包括使用行业特定诱饵的大量电子邮件活动。

Proofpoint周二发布的一份新报告显示，据研究人员称，这个被研究人员称为TA2541的组织通常会发送数十万条恶意消息——几乎都是英文——最终使用商品恶意软件传递远程访问木马(RAT)有效载荷，以从受害者的机器和网络中收集数据。研究人员表示，这些活动影响了全球数百个组织，其目标反复出现在北美、欧洲和中东。

尽管至少自2019年以来，各种研究人员(包括Microsoft、Mandiant、Cisco Talos、Morphisec等)已经对该组织的一些攻击进行了跟踪，但Proofpoint的最新研究分享了“在一个我们称之为TA2541的威胁活动集群下，公共和私人数据之间的综合细节”。

事实上，之前报道的与TA2541相关的攻击包括一场为期两年的针对航空业的间谍软件运动，该运动使用了AsyncRAT，名为“Layour over”，并于去年9月由Cisco Talos发现，以及一场针对航空目标的网络间谍运动，其中包括微软去年5月披露的RevengeRAT或AsyncRAT。

五年了，依在继续

Proofpoint于2017年首次开始跟踪攻击者，当时其选择的策略是发送带有下载RAT有效负载的“包含宏的Microsoft Word附件”的消息。该报告称，该组织此后调整了这一策略，现在最常发送带有云服务链接的消息，例如托管有效负载的Google Drive或OneDrive。

然而，Proofpoint威胁研究与检测副总裁Sherrod DeGrippo表示，尽管他们隐藏恶意负载的方法各不相同，但该组织在选择目标、诱饵和使用的负载类型方面基本保持一致。

“关于TA2541值得注意的是，他们对网络犯罪的态度几乎没有改变，反复使用相同的主题(通常与航空、航天和运输有关)来传播远程访问特洛伊木马，”她在一封电子邮件中说到威胁帖，“这个群体对整个运输、物流和旅游行业的目标构成持续威胁。”

就使用哪些特定RAT而言，攻击者利用了各种唾手可得的工具——即可在犯罪论坛上购买或在开源存储库中获得的商品恶意软件。研究人员说，目前，TA2541更喜欢将AsyncRA 放在受害者的机器上，但也会使用NetWire、WSH RAT和Parallax。

到目前为止，该组织分发的所有恶意软件都旨在收集信息并获得对受感染机器的远程控制，研究人员承认除了最初的妥协，他们不知道威胁行为人的“最终目的和目标”。

典型的恶意电子邮件

研究人员表示，TA2541活动中的典型恶意消息使用与其所针对的特定行业之一相关的某种物流或运输主题相关的诱饵。

报告称：“在几乎所有观察到的活动中，TA2541都使用了包括飞行、飞机、燃料、游艇、包机等运输相关术语在内的诱饵主题。”

例如，研究人员披露了一封冒充一家航空公司的电子邮件，要求提供有关飞机部件的信息，以及另一封，要求提供有关如何在门诊航班上用担架运送医疗病人的信息。

研究人员指出，COVID-19大流行于2020年3月爆发之后，该组织就略微改变了诱饵策略，并且像许多其他威胁行为者一样，采用了与其货物和航班细节的总体主题一致的COVID相关诱饵。

研究人员指出：“例如，他们分发了与个人防护设备(PPE)或COVID-19测试套件的货物运输相关的诱饵。”

然而，这种转变是短暂的，他们补充说，TA2541很快就恢复了其更通用的、与交通相关的电子邮件主题。

当前的攻击向量

研究人员表示，在Proofpoint观察到的当前活动中，如果受害者上钩，他们通常会被引导点击Google Drive URL，该URL会导致混淆的Visual Basic Script(VBS)文件。

研究人员写道：“如果执行，PowerShell会从托管在各种平台(如Pastetext、Sharetext和GitHub)上的文本文件中提取可执行文件。” “威胁行为者在各种Windows进程中执行PowerShell，并查询Windows Management Instrumentation(WMI)以获取防病毒和防火墙软件等安全产品，并尝试禁用内置的安全保护。”

报告称，TA2541通过这种方式收集系统信息，然后将RAT下载到主机上。

研究人员表示，Google Drive一直是威胁组织的一贯工具，但偶尔TA2541也会使用OneDrive来托管恶意VBS文件。研究人员表示，在2021年末，Proofpoint还观察到该组织使用DiscordApp URL链接到压缩文件，导致AgentTesla或Imminent Monitor作为攻击向量。事实上，Discord内容交付网络(CDN)已成为威胁参与者使用合法且流行的应用程序进行恶意目的的一种越来越流行的方式。

他们补充说，有时TA2541还会使用电子邮件附件而不是基于云的服务链接，包括压缩的可执行文件，例如带有嵌入式可执行文件的RAR附件，其中包含指向托管恶意软件有效负载的CDN的URL。

本文翻译自：https://threatpost.com/ta2541-apt-rats-aviation/178422/