Pesquisadores descobrem um agente de ameaças comum por trás de campanhas de malware de aviação e defesa

Apelidado de TA2541 pelos pesquisadores da Proofpoint, o grupo vem atacando alvos em vários setores críticos desde 2017 com e-mails de phishing e droppers de malware hospedados na nuvem.

Pesquisadores de segurança da Proofpoint anunciaram a descoberta de um agente de ameaças comum por trás dos ataques relatados pela Cisco Talos, Microsoft e outros, e dizem que o grupo está ativo desde pelo menos 2017.

Apelidado de TA2541, a Proofpoint disse que o indivíduo ou grupo tem tentado principalmente infectar alvos nas indústrias de aviação, aeroespacial, transporte e defesa com trojans de o remoto (RATs).

“Normalmente, suas campanhas de malware incluem centenas a milhares de mensagens. … As campanhas impactam centenas de organizações globalmente, com alvos recorrentes na América do Norte, Europa e Oriente Médio. As mensagens são quase sempre em inglês”, disse o relatório.

VEJO: Violação de senha: por que cultura pop e senhas não se misturam (PDF grátis) (TechRepublic)

A Proofpoint observou que, embora o TA2541 use malware de commodities que pode ser comprado na Dark Web ou copiado de sites de código aberto, ele mostra pouca variação em suas campanhas. Outros agentes de ameaças que usam malware de commodities, disse a Proofpoint, tendem a usar eventos atuais, notícias e outros tópicos importantes para atrair alvos.

Por usar grandes volumes, malware de commodities e ter uma infraestrutura de comando e controle considerável, a Proofpoint disse acreditar que o TA2541 “é um agente de ameaças cibercriminosas” e não apenas uma operação de pequeno porte.

Como o TA2541 ataca seus alvos

Além de uma breve adoção de e-mails de phishing com o tema COVID-19, o TA2541 manteve um curso constante de segmentação de organizações por meio de e-mails solicitando cotações de peças aeronáuticas, voos ambulatoriais e outros alvos específicos. Até mesmo suas mensagens COVID mantiveram o tema aeroespacial, com uma mensagem em destaque no relatório procurando uma cotação para uma remessa de EPI.

Arquivos contendo scripts maliciosos que baixam malware são uma técnica comum, e a Proofpoint disse que o TA2541 usou esse método em campanhas anteriores. Campanhas mais recentes, disse a Proofpoint, usam URLs que chegam a um arquivo do Google Drive com um arquivo VBS ofuscado.

Esse arquivo, por sua vez, faz com que o PowerShell extraia um executável de um arquivo de texto hospedado em sites como o Pastebin, que por sua vez usa o PowerShell para entrar nos processos do Windows, coleta informações e tenta desabilitar o software de segurança e, em seguida, baixa o próprio RAT.

Além de usar serviços de nuvem pública como Google Drive e OneDrive, o TA 2541 também foi detectado usando URLs do Discord que vinculam a arquivos compactados que baixam um dos dois malwares comuns: AgentTesla ou Imminent Monitor.

O TA 2541 é capaz de se tornar persistente adicionando tarefas agendadas e entradas de registro e, apesar de usar uma variedade de malwares comuns, a Proofpoint disse que sua cadeia de ataque é sempre a mesma. O resultado final também é semelhante: o TA2541 tem a capacidade de controlar remotamente as máquinas infectadas.

Como evitar se tornar uma vítima do TA2541

Uma das coisas mais preocupantes sobre as campanhas TA2541 é que elas lançam uma rede incrivelmente ampla que, segundo a Proofpoint, não parece ter como alvo pessoas com funções e funções específicas. Isso significa que qualquer pessoa entre as milhares de organizações visadas pode ser um ponto de entrada.

“A Proofpoint avalia com alta confiança que este agente de ameaças continuará usando as mesmas táticas, técnicas e procedimentos observados na atividade histórica com alterações mínimas em seus temas de atração, entrega e instalação”, disse o relatório.

VEJO: Google Chrome: dicas de segurança e interface do usuário que você precisa saber (TechRepublic )

Como outras campanhas lançadas por meio de ataques de phishing, os métodos do TA2541 exigem que um humano cometa um erro. A melhor maneira de combater esses tipos de erros é treinar as pessoas para reconhecer e-mails e mensagens suspeitos, além de ter ferramentas de segurança anti-phishing adequadas que possam intervir quando erros inevitavelmente ocorrerem.

Incluídos no relatório da Proofpoint estão C2, hash VBS e indicadores de ET de comprometimento que as equipes de segurança devem ter certeza de que seus sistemas são capazes de detectar.