【安全资讯】TA2541组织针对航空、运输行业分发恶意软件

引言

TA2541是一个运营了多年的黑客组织，至少自2017年以来一直活跃。2月15日，研究人员发布分析报告称，TA2541组织长期以航空航天、运输和国防等行业为目标，分发了10余种不同类型的恶意软件。

简况

TA2541组织通常不会在其社会工程诱饵中使用时事、新闻或热门话题，该组织使用的诱饵主题包括与运输相关的术语，例如飞行、飞机、燃料、游艇、包机等。请求动态航班信息的电子邮件诱饵如下：

TA2541组织使用与航空、交通和旅行相关的主题，起初向受害者发送包含宏的 Microsoft Word 附件，这些附件可以下载 RAT 有效负载。现在，该组织的攻击手法发生了一定的转变，频繁地发送带有云服务链接的消息，例如托管有效负载的 Google Drive。

在最近的活动中，该组织在电子邮件中使用 Google Drive URL，如果执行，PowerShell 会从托管在各种平台（如 Pastetext、Sharetext 和 GitHub）上的文本文件中提取可执行文件。随后，攻击者在各种 Windows 进程中执行 PowerShell，并查询 Windows Management Instrumentation (WMI) 以获取防病毒和防火墙软件等安全产品，随后尝试禁用内置的安全保护，并收集系统信息，随后将 RAT 有效负载下载到受感染的主机上。攻击链如下：

TA2541 不使用自定义恶意软件，而是使用可在网络犯罪论坛上购买的商品恶意工具。AsyncRAT、NetWire、WSH RAT 和 Parallax 似乎是该组织最常用的恶意软件，如下图：

总结

据悉，TA2541组织大约 73% 的 IP 位于尼日利亚，因此该组织的运营者很可能位于尼日利亚。研究人员表示，预计TA2541会在未来的活动中继续使用 AsyncRAT 和 vjw0rm，并且可能会使用其他商品恶意软件来支持其目标。