研究人员周二透露了一个新的威胁因素,在过去五年中,该威胁因素以几乎无穷无尽的恶意消息攻击了数千家组织,旨在用窃取数据的恶意软件感染系统。
安全公司Proofpoint将该黑客组织命名为TA2541,该组织至少从2017年开始活跃,当时公司研究人员开始跟踪该组织。该组织使用相对粗糙的战术、技术和程序,或TTP,以航空、航天、运输、制造和国防行业的组织为目标。这些TTP包括使用恶意谷歌驱动器链接,试图诱骗目标安装现成的特洛伊木马。
但该组织在成熟度上的不足之处在于,它以坚韧和坚持弥补了这一不足,使其得以蓬勃发展。自五年前Proofpoint开始跟踪该组织以来,它已经发起了几乎无休止的一系列恶意软件活动,通常一次发送数百到数千条消息。一场运动可以影响世界各地数百个组织,重点是北美、欧洲和中东。
公司研究人员赛琳娜·拉森(Selena Larson)和乔·怀斯(Joe Wise)在周二发布的一份报告中写道:“通常情况下,活动包含数百至数千封发给数十个不同组织的电子邮件。”。“尽管Proofpoint观察到TA2541瞄准了数千个组织,但航空、航天、运输、制造和国防行业的多个实体经常成为其行动的目标。”
来自其他公司的研究人员,包括思科的Talos Group、Morphisec、微软、Mandiant和其他公司,也发布了类似活动的数据。
在周二的报告中,Proofpoint详细描述了该组织的TTP。公司研究人员写道:
在最近的活动中,Proofpoint观察到这群人在电子邮件中使用Google Drive URL,导致出现一个模糊的Visual Basic脚本(VBS)文件。如果执行,PowerShell会从托管在各种平台(如Pastetext、Sharetext和GitHub)上的文本文件中提取一个可执行文件。威胁参与者在各种Windows进程中执行PowerShell,并查询Windows Management Instrumentation(WMI)中的安全产品,如防病毒软件和防火墙软件,并尝试禁用内置安全保护。威胁参与者将在主机上下载RAT之前收集系统信息。
该组织偶尔会使用Microsoft OneDrive来托管特洛伊木马,多年来,这些木马包括十几个可在地下犯罪论坛出售或在存储库中免费出售的恶意软件家族。家族包括AsyncRAT、NetWire、WSH RAT和Parallax。该恶意软件允许该组织从受感染的网络收集信息,并远程访问受感染的机器。最近,TA2541使用DiscordApp URL和电子邮件附件传播恶意代码。
该组织让特洛伊木马实现持久性,这意味着每次使用两种方法中的一种打开机器时都能自动运行。第一种方法是将VBS文件添加到计算机的启动文件夹中。第二种方法是创建计划任务并在Windows目录中添加条目。VBS脚本与此类似。
当解除订阅时,文件指向URLhttps://paste[ee/r/01f2w/0。最近一次活动中使用的PowerShell代码示例如下所示:
尽管缺乏成熟度,该组织仍应受到重视。周二的报告列出了大量恶意域、恶意软件哈希和其他指标,可用于检测该组织试图或成功的网络入侵。在目标行业之一的公司工作的管理员应该检查他们的网络是否有感染迹象,因为Proofpoint没有看到该组织计划停止的迹象。
该公司的研究人员写道:“TA2541仍然是一个持续、活跃的网络犯罪威胁,尤其是对其最常被锁定的领域的实体而言。”。“Proofpoint满怀信心地评估,该威胁参与者将继续使用历史活动中观察到的相同TTP,其诱饵主题、交付和安装变化最小。TA2541很可能在未来的活动中继续使用AsyncRAT和vjw0rm,并可能使用其他商品恶意软件来支持其目标。”