Danny Palmer Senior Reporter
Danny Palmer er seniorreporter hos ZDNet. Baseret i London skriver han om problemer, herunder cybersikkerhed, hacking og malware-trusler.
Fuld bio den 15. februar 2022 | Emne: Sikkerhed 
Hvorfor de samme gamle cyberangreb stadig er så vellykkede, og hvad skal der gøres for at stoppe dem Se nu
En ukendt kriminel hackergruppe retter sig mod organisationer inden for luftfart, rumfart, forsvar, transport og fremstillingsindustrier med trojanske malware, i angreb, som forskere siger har stået på i årevis.
Døbt TA2541 og detaljeret af cybersikkerhedsforskere hos Proofpoint, har den vedvarende cyberkriminelle operation været aktiv siden 2017 og har kompromitteret hundredvis af organisationer på tværs af Nordamerika, Europa og Mellemøsten.
På trods af, at den har kørt i årevis, angrebene har næsten ikke udviklet sig, stort set efter samme målretning og temaer, hvor angribere fjernstyrer kompromitterede maskiner, foretager rekognoscering på netværk og stjæler følsomme data.
SE: En vindende strategi for cybersikkerhed (ZDNet-særrapport)
“Det, der er bemærkelsesværdigt ved TA2541, er, hvor lidt de har ændret deres tilgang til cyberkriminalitet i løbet af de sidste fem år, ved gentagne gange at bruge de samme temaer, ofte relateret til luftfart, rumfart og transport, til at distribuere trojanske heste med fjernadgang,” sagde Sherrod DeGrippo, vicedirektør. formand for trusselsforskning og detektion hos Proofpoint.
“Denne gruppe er en vedvarende trussel mod mål i hele transport-, logistik- og rejsebranchen.”
Angreb begynder med phishing-e-mails designet til at være relevante for enkeltpersoner og virksomheder i de sektorer, der er målrettet mod. For eksempel ligner en lokke, der sendes til mål inden for luftfart og rumfart, anmodninger om flydele, mens en anden er designet til at ligne en presserende anmodning om luftambulanceflydetaljer. På et tidspunkt introducerede angriberne lokkemidler med COVID-19-tema, selvom disse hurtigt blev droppet.
Selvom lokkerne ikke er særligt tilpassede og følger almindelige skabeloner, vil det store antal meddelelser, der er sendt gennem årene – hundredtusindvis i alt – og deres underforståede hastende karakter være nok til at narre ofrene til at downloade malware. Beskederne er næsten altid på engelsk.
TA2541 sendte oprindeligt e-mails, der indeholdt makrofyldte Microsoft Word-vedhæftede filer, der downloadede Remote Access Trojan (RAT) nyttelasten, men gruppen er for nylig skiftet til at bruge Google Drev og Microsoft OneDrive URL'er, hvilket fører til et sløret Visual Basic Script (VBS) fil.
Interaktion med disse filer – hvis navne følger lignende temaer som de første lokker – vil udnytte PowerShell-funktioner til at downloade malware til kompromitterede Windows-maskiner.
De cyberkriminelle har distribueret over et dusin forskellige trojanske malware-nyttelaster siden kampagnerne startede, som alle er tilgængelige til køb på mørke web-fora eller kan downloades fra open source-depoter.
I øjeblikket er den mest almindeligt leverede malware i TA2541-kampagner AsyncRAT, men andre populære nyttelaster inkluderer NetWire, WSH RAT og Parallax.
Uanset hvilken malware der leveres, bruges den til at få fjernstyring af inficerede maskiner og stjæle data, selvom forskere bemærker, at de stadig ikke ved, hvad gruppens ultimative mål er, eller hvor de opererer fra.
Kampagnen er stadig aktiv, og det er blevet advaret om, at angriberne vil fortsætte med at distribuere phishing-e-mails og levere malware til ofre over hele verden.
MERE OM CYBERSIKKERHED
Hackere henvender sig til denne enkle teknik til at installere deres malware på pc'erDisse hackere byggede en omfattende online profil for at narre deres mål til at downloade malwareTræning i cybersikkerhed virker ikke. Og hackingangreb bliver kun værreEn virksomhed opdagede et sikkerhedsbrud. Derefter fandt efterforskere denne nye mystiske malwareDenne hackergruppe bruger hidtil ukendte værktøjer til at målrette mod forsvarsentreprenører Security TV | Datastyring | CXO | Datacentre