Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 16 Febbraio 2022 07:48
Per anni, aggressori poco qualificati hanno utilizzato malware standard in campagne dannose rivolte alle imprese aeronautiche. Gli aggressori operano almeno dal 2017, attaccando imprese nei settori dell’aviazione, aerospaziale, dei trasporti, manifatturiero e della difesa.
Si tratta del gruppo TA2541 opera dalla Nigeria e la sua attività è stata registrata in precedenti campagne dannose, secondo gli specialisti della società di sicurezza delle informazioni Proofpoint. TA2541 attacca utilizzando documenti Microsoft Word dannosi per installare lo strumento di accesso remoto (RAT).
Una tipica campagna di malware per questo gruppo include da centinaia a migliaia di e-mail per lo più in lingua inglese inviate a centinaia di organizzazioni in tutto il mondo con obiettivi ricorrenti in Nord America, Europa e Medio Oriente.
Tuttavia, il gruppo è recentemente passato da allegati dannosi a collegamenti a payload ospitati su servizi cloud come Google Drive.
TA2541 non utilizza i propri sviluppi, ma strumenti standard disponibili all’acquisto sui forum underground. Secondo le osservazioni dei ricercatori, AsyncRAT, NetWire, WSH RAT e Parallax sono gli strumenti più popolari nel gruppo e sono spesso utilizzati nei messaggi dannosi.
Tutti i malware utilizzati nelle campagne da parte di TA2541 possono essere utilizzati per raccogliere informazioni, ma l’obiettivo finale degli aggressori rimane al momento sconosciuto.
Una tipica catena di attacco TA2541 inizia con l’invio di un’e-mail, che di solito è correlata a un trasporto (ad es. volo, aereo, carburante, charter, carico) e contiene un documento dannoso.
“Il gruppo utilizza gli URL di Google Drive nelle e-mail che portano a file Visual Basic Script (VBS) offuscato. Quando viene eseguito, lo script in PowerShell, estrae un file eseguibile da un file di testo ospitato su varie piattaforme come Pastetext, Sharetext e GitHub”
hanno osservato gli esperti.
Nel passaggio successivo, gli aggressori eseguono uno script in PowerShell in vari processi di Windows e cercano i prodotti di sicurezza disponibili interrogando le Windows management interface (WMI). Quindi provano a disabilitare la protezione integrata e iniziano a raccogliere informazioni sul sistema prima di scaricare il RAT sul sistema compromesso.
RedazioneIl mondo della tecnologia quantistica ha compiuto un balzo in avanti impressionante: QuantWare ha presentato il primo processore al mondo da 10.000 qubit, 100 volte più di qualsiasi dispositivo esist...
Un aggiornamento urgente è stato pubblicato da Ivanti per la sua piattaforma Endpoint Manager (EPM), al fine di risolvere un insieme di vulnerabilità significative che potrebbero permettere agli agg...
A seguito della scoperta di exploit attivi, la Cybersecurity and Infrastructure Security Agency (CISA) ha inserito due vulnerabilità critiche al catalogo Known Exploited Vulnerabilities (KEV) dell’...
Una vulnerabilità zero-day nel driver Windows Cloud Files Mini Filter (cldflt.sys) è attualmente oggetto di sfruttamento attivo. Microsoft ha provveduto al rilascio di aggiornamenti di sicurezza urg...
Una vulnerabilità critica, monitorata con il codice CVE-2025-59719, riguarda le linee di prodotti FortiOS, FortiWeb, FortiProxy e FortiSwitchManager è stata segnalata da Fortinet tramite un avviso d...
