Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Crowdstrike

Il gruppo nigeriano TA2541, sta attaccando i settori aviazione, trasporti e difesa.

Redazione RHC : 16 Febbraio 2022 07:48

Per anni, aggressori poco qualificati hanno utilizzato malware standard in campagne dannose rivolte alle imprese aeronautiche. Gli aggressori operano almeno dal 2017, attaccando imprese nei settori dell’aviazione, aerospaziale, dei trasporti, manifatturiero e della difesa.

Si tratta del gruppo TA2541 opera dalla Nigeria e la sua attività è stata registrata in precedenti campagne dannose, secondo gli specialisti della società di sicurezza delle informazioni Proofpoint. TA2541 attacca utilizzando documenti Microsoft Word dannosi per installare lo strumento di accesso remoto (RAT).

Supporta Red Hot Cyber attraverso

Una tipica campagna di malware per questo gruppo include da centinaia a migliaia di e-mail per lo più in lingua inglese inviate a centinaia di organizzazioni in tutto il mondo con obiettivi ricorrenti in Nord America, Europa e Medio Oriente.

Tuttavia, il gruppo è recentemente passato da allegati dannosi a collegamenti a payload ospitati su servizi cloud come Google Drive.

TA2541 non utilizza i propri sviluppi, ma strumenti standard disponibili all’acquisto sui forum underground. Secondo le osservazioni dei ricercatori, AsyncRAT, NetWire, WSH RAT e Parallax sono gli strumenti più popolari nel gruppo e sono spesso utilizzati nei messaggi dannosi.

Tutti i malware utilizzati nelle campagne da parte di TA2541 possono essere utilizzati per raccogliere informazioni, ma l’obiettivo finale degli aggressori rimane al momento sconosciuto.

Una tipica catena di attacco TA2541 inizia con l’invio di un’e-mail, che di solito è correlata a un trasporto (ad es. volo, aereo, carburante, charter, carico) e contiene un documento dannoso.

“Il gruppo utilizza gli URL di Google Drive nelle e-mail che portano a file Visual Basic Script (VBS) offuscato. Quando viene eseguito, lo script in PowerShell, estrae un file eseguibile da un file di testo ospitato su varie piattaforme come Pastetext, Sharetext e GitHub”

hanno osservato gli esperti.

Nel passaggio successivo, gli aggressori eseguono uno script in PowerShell in vari processi di Windows e cercano i prodotti di sicurezza disponibili interrogando le Windows management interface (WMI). Quindi provano a disabilitare la protezione integrata e iniziano a raccogliere informazioni sul sistema prima di scaricare il RAT sul sistema compromesso.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.
Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

Redazione: [email protected]
© Copyright RED HOT CYBER. PIVA 16821691009