Il gruppo nigeriano TA2541, sta attaccando i settori aviazione, trasporti e difesa.

Redazione RHC : 16 Febbraio 2022 07:48

Per anni, aggressori poco qualificati hanno utilizzato malware standard in campagne dannose rivolte alle imprese aeronautiche. Gli aggressori operano almeno dal 2017, attaccando imprese nei settori dell’aviazione, aerospaziale, dei trasporti, manifatturiero e della difesa.

Si tratta del gruppo TA2541 opera dalla Nigeria e la sua attività è stata registrata in precedenti campagne dannose, secondo gli specialisti della società di sicurezza delle informazioni Proofpoint. TA2541 attacca utilizzando documenti Microsoft Word dannosi per installare lo strumento di accesso remoto (RAT).

PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Una tipica campagna di malware per questo gruppo include da centinaia a migliaia di e-mail per lo più in lingua inglese inviate a centinaia di organizzazioni in tutto il mondo con obiettivi ricorrenti in Nord America, Europa e Medio Oriente.

Tuttavia, il gruppo è recentemente passato da allegati dannosi a collegamenti a payload ospitati su servizi cloud come Google Drive.

TA2541 non utilizza i propri sviluppi, ma strumenti standard disponibili all’acquisto sui forum underground. Secondo le osservazioni dei ricercatori, AsyncRAT, NetWire, WSH RAT e Parallax sono gli strumenti più popolari nel gruppo e sono spesso utilizzati nei messaggi dannosi.

Tutti i malware utilizzati nelle campagne da parte di TA2541 possono essere utilizzati per raccogliere informazioni, ma l’obiettivo finale degli aggressori rimane al momento sconosciuto.

Una tipica catena di attacco TA2541 inizia con l’invio di un’e-mail, che di solito è correlata a un trasporto (ad es. volo, aereo, carburante, charter, carico) e contiene un documento dannoso.

“Il gruppo utilizza gli URL di Google Drive nelle e-mail che portano a file Visual Basic Script (VBS) offuscato. Quando viene eseguito, lo script in PowerShell, estrae un file eseguibile da un file di testo ospitato su varie piattaforme come Pastetext, Sharetext e GitHub”

hanno osservato gli esperti.

Nel passaggio successivo, gli aggressori eseguono uno script in PowerShell in vari processi di Windows e cercano i prodotti di sicurezza disponibili interrogando le Windows management interface (WMI). Quindi provano a disabilitare la protezione integrata e iniziano a raccogliere informazioni sul sistema prima di scaricare il RAT sul sistema compromesso.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli