研究人員已經確定了一個高級持續威脅(APT)組織，該組織負責至少自2017年以來針對航空、航天、運輸和國防行業的一系列網絡間諜和間諜軟件攻擊，其中包括使用行業特定誘餌的大量電子郵件活動。

Proofpoint周二發布的一份新報告顯示，據研究人員稱，這個被研究人員稱為TA2541的組織通常會發送數十萬條惡意消息——幾乎都是英文——最終使用商品惡意軟件傳遞遠程訪問木馬(RAT)有效載荷，以從受害者的機器和網絡中收集數據。研究人員表示，這些活動影響了全球數百個組織，其目標反復出現在北美、歐洲和中東。

盡管至少自2019年以來，各種研究人員(包括Microsoft、Mandiant、Cisco Talos、Morphisec等)已經對該組織的一些攻擊進行了跟蹤，但Proofpoint的最新研究分享了“在一個我們稱之為TA2541的威脅活動集群下，公共和私人數據之間的綜合細節”。

事實上，之前報道的與TA2541相關的攻擊包括一場為期兩年的針對航空業的間諜軟件運動，該運動使用了AsyncRAT，名為“Layour over”，并于去年9月由Cisco Talos發現，以及一場針對航空目標的網絡間諜運動，其中包括微軟去年5月披露的RevengeRAT或AsyncRAT。

五年了，依在繼續

Proofpoint于2017年首次開始跟蹤攻擊者，當時其選擇的策略是發送帶有下載RAT有效負載的“包含宏的Microsoft Word附件”的消息。該報告稱，該組織此后調整了這一策略，現在最常發送帶有云服務鏈接的消息，例如托管有效負載的Google Drive或OneDrive。

然而，Proofpoint威脅研究與檢測副總裁Sherrod DeGrippo表示，盡管他們隱藏惡意負載的方法各不相同，但該組織在選擇目標、誘餌和使用的負載類型方面基本保持一致。

“關于TA2541值得注意的是，他們對網絡犯罪的態度幾乎沒有改變，反復使用相同的主題(通常與航空、航天和運輸有關)來傳播遠程訪問特洛伊木馬，”她在一封電子郵件中說到威脅帖，“這個群體對整個運輸、物流和旅游行業的目標構成持續威脅。”

就使用哪些特定RAT而言，攻擊者利用了各種唾手可得的工具——即可在犯罪論壇上購買或在開源存儲庫中獲得的商品惡意軟件。研究人員說，目前，TA2541更喜歡將AsyncRA 放在受害者的機器上，但也會使用NetWire、WSH RAT和Parallax。

到目前為止，該組織分發的所有惡意軟件都旨在收集信息并獲得對受感染機器的遠程控制，研究人員承認除了最初的妥協，他們不知道威脅行為人的“最終目的和目標”。

典型的惡意電子郵件

研究人員表示，TA2541活動中的典型惡意消息使用與其所針對的特定行業之一相關的某種物流或運輸主題相關的誘餌。

報告稱：“在幾乎所有觀察到的活動中，TA2541都使用了包括飛行、飛機、燃料、游艇、包機等運輸相關術語在內的誘餌主題。”

例如，研究人員披露了一封冒充一家航空公司的電子郵件，要求提供有關飛機部件的信息，以及另一封，要求提供有關如何在門診航班上用擔架運送醫療病人的信息。

研究人員指出，COVID-19大流行于2020年3月爆發之后，該組織就略微改變了誘餌策略，并且像許多其他威脅行為者一樣，采用了與其貨物和航班細節的總體主題一致的COVID相關誘餌。

研究人員指出：“例如，他們分發了與個人防護設備(PPE)或COVID-19測試套件的貨物運輸相關的誘餌。”

然而，這種轉變是短暫的，他們補充說，TA2541很快就恢復了其更通用的、與交通相關的電子郵件主題。

當前的攻擊向量

研究人員表示，在Proofpoint觀察到的當前活動中，如果受害者上鉤，他們通常會被引導點擊Google Drive URL，該URL會導致混淆的Visual Basic Script(VBS)文件。

研究人員寫道：“如果執行，PowerShell會從托管在各種平臺(如Pastetext、Sharetext和GitHub)上的文本文件中提取可執行文件。” “威脅行為者在各種Windows進程中執行PowerShell，并查詢Windows Management Instrumentation(WMI)以獲取防病毒和防火墻軟件等安全產品，并嘗試禁用內置的安全保護。”

報告稱，TA2541通過這種方式收集系統信息，然后將RAT下載到主機上。

研究人員表示，Google Drive一直是威脅組織的一貫工具，但偶爾TA2541也會使用OneDrive來托管惡意VBS文件。研究人員表示，在2021年末，Proofpoint還觀察到該組織使用DiscordApp URL鏈接到壓縮文件，導致AgentTesla或Imminent Monitor作為攻擊向量。事實上，Discord內容交付網絡(CDN)已成為威脅參與者使用合法且流行的應用程序進行惡意目的的一種越來越流行的方式。

他們補充說，有時TA2541還會使用電子郵件附件而不是基于云的服務鏈接，包括壓縮的可執行文件，例如帶有嵌入式可執行文件的RAR附件，其中包含指向托管惡意軟件有效負載的CDN的URL。

本文翻譯自：https://threatpost.com/ta2541-apt-rats-aviation/178422/