Há mais de quatro anos, um grupo hacker não especializado tem usado malware de prateleira em campanhas maliciosas destinadas a empresas do setor de aviação, bem como em outros setores sensíveis. O grupo está ativo desde ao menos 2017 e tem como alvos preferenciais companhias dos setores de aviação, aeroespacial, transporte, manufatura e defesa.
Rastreado como TA2541 pela empresa de segurança cibernética Proofpoint, o grupo tem sido consistente sobre seu método de ataque, contando com documentos maliciosos do MS-Word para distribuir RATs, ferramentas de acesso remoto que operam como cavalos de Tróia. Acredita-se que o grupo opere na Nigéria e sua atividade já foi documentada anteriormente na análise de campanhas separadas.
Uma campanha de malware típica desse grupo envolve o envio de “centenas a milhares” de e-mails, principalmente em inglês e geralmente relacionado à aviação (por exemplo, voo, aeronave, combustível, iate, fretamento, carga), para “centenas de organizações globalmente, com alvos recorrentes na América do Norte, Europa e Oriente Médio”. “Recentemente, porém, o grupo mudou de anexos maliciosos para vincular a uma carga útil hospedada em serviços em nuvem, como o Google Drive”, dizem os pesquisadores da Proofpoint.
O TA2541 não usa malware personalizado, mas ferramentas maliciosas de commodities disponíveis para compra em fóruns de cibercriminosos. De acordo com os pesquisadores, o AsyncRAT, NetWire, WSH RAT e Parallax parecem ser as ferramentas favoritas do grupo sendo enviados com mais frequência em mensagens maliciosas.
A Proofpoint destaca que todos os malwares usados nas campanhas TA2541 podem ser usados para coletar informações, mas o objetivo final dos operadores da ameaça permanece desconhecido até o momento. “Em campanhas recentes, observamos esse grupo usando URLs do Google Drive em e-mails que levam a um arquivo Visual Basic Script (VBS) ofuscado. Se executado, o PowerShell extrai um executável de um arquivo de texto hospedado em várias plataformas, como Pastetext, Sharetext e GitHub”, diz a Proofpoint.
Veja isso
Empresas de aviação e viagens são novos alvos de RAT
Indústria da aviação carece de medidas coesas de cibersegurança, diz estudo
Na próxima etapa, o malware executa o PowerShell em vários processos do Windows e procura produtos de segurança disponíveis consultando o Windows Management Instrumentation (WMI). Em seguida, ele tenta desabilitar as defesas internas e começa a coletar informações do sistema antes de baixar a carga útil do RAT no host comprometido.
Dada a escolha de alvos do TA2541, sua atividade não passou despercebida e pesquisadores de segurança de outras empresas analisaram suas campanhas no passado, mas sem ligar todos os pontos. A Cisco Talos, por exemplo, publicou um relatório no ano passado sobre uma campanha TA2541 visando o setor de aviação com o AsyncRAT.
Os pesquisadores concluíram que o grupo estava ativo há pelo menos cinco anos. Com base nas evidências da análise da infraestrutura usada no ataque, a Cisco Talos conseguiu criar um perfil para o agente da ameaça, vinculando sua localização geográfica à Nigéria.Embora milhares de organizações tenham sido alvo desses ataques “spray-and-pray”, empresas em todo o mundo nos setores de aviação, aeroespacial, transporte, manufatura e defesa parecem ser um alvo preferencial.