Unternehmen in der Luft- und Raumfahrt, im Transportwesen, in der Produktion und in der Verteidigungsindustrie werden seit mindestens 2017 von einer hartnäckigen Bedrohungsgruppe im Rahmen einer Reihe von Spear-Phishing-Kampagnen angegriffen, um eine Reihe von Remote-Access-Trojanern (RATs) auf kompromittierte Systeme zu bringen.
Die Verwendung von Standard-Malware wie AsyncRAT und NetWire hat das Sicherheitsunternehmen Proofpoint auf einen „cyberkriminellen Bedrohungsakteur“ mit dem Codenamen TA2541 aufmerksam gemacht, der „ein breites Zielpublikum mit einem hohen Nachrichtenvolumen“ anspricht. Das eigentliche Ziel der Eindringlinge ist noch nicht bekannt.
Die Social-Engineering-Köder, die die Gruppe einsetzt, basieren nicht auf aktuellen Themen, sondern auf Täuschungsbotschaften aus den Bereichen Luftfahrt, Logistik, Transport und Reisen. Allerdings hat TA2541 im Frühjahr 2020 kurzzeitig auf COVID-19-Köder umgeschwenkt und E-Mails über Frachtsendungen mit persönlicher Schutzausrüstung (PSA) oder Testkits verteilt.
„Während TA2541 einige Verhaltensweisen beibehält, wie z. B. die Verwendung von E-Mails, die sich als Luftfahrtunternehmen ausgeben, um Remote-Access-Trojaner zu verbreiten, haben sich andere Taktiken, wie z. B. die Zustellungsmethode, Anhänge, URLs, die Infrastruktur und der Malware-Typ geändert“, sagte Sherrod DeGrippo, Vizepräsident für Bedrohungsforschung und -erkennung bei Proofpoint, gegenüber The Hacker News.
Die Kampagnen haben in der Vergangenheit mit Makros beladene Microsoft Word-Anhänge verwendet, um die RAT-Nutzlast abzusetzen, obwohl neuere Varianten Links zu Cloud-Diensten enthalten, die die Malware hosten. Die Phishing-Angriffe sollen Hunderte von Unternehmen weltweit treffen, wobei immer wieder Ziele in Nordamerika, Europa und dem Nahen Osten beobachtet werden.
Abgesehen von der wiederholten Verwendung der gleichen Motive wurden in einigen Infektionsketten auch URLs der Discord-App verwendet, die auf komprimierte Dateien mit AgentTesla- oder Imminent Monitor-Malware verweisen.
„Die Abwehr von Bedrohungen, die auf legitimen Diensten gehostet werden, ist nach wie vor schwierig, da sie wahrscheinlich die Implementierung eines robusten Erkennungsstacks oder die richtlinienbasierte Blockierung von Diensten erfordert, die möglicherweise geschäftsrelevant sind“, so DeGrippo.
Weitere interessante Techniken, die TA2541 anwendet, sind die Nutzung von Virtual Private Servern (VPS) für den E-Mail-Versand und dynamische DNS für Command-and-Control (C2)-Aktivitäten.
Die Ankündigung von Microsoft, Makros für aus dem Internet heruntergeladene Dateien ab April 2022 standardmäßig zu deaktivieren, dürfte dazu führen, dass die Bedrohungsakteure auf andere Methoden ausweichen, falls Makros eine ineffiziente Übertragungsmethode darstellen.
„Während mit Makros versehene Office-Dokumente zu den am häufigsten genutzten Techniken gehören, die zum Download und zur Ausführung bösartiger Nutzdaten führen, ist auch der Missbrauch legitimer Hosting-Dienste bereits weit verbreitet“, erklärt DeGrippo.
„Außerdem beobachten wir regelmäßig, dass Akteure Nutzdaten in Container packen und Archiv- und Image-Dateien (z. B. ZIP, ISO usw.) verwenden, was in manchen Umgebungen ebenfalls die Erkennung und Analyse beeinträchtigen kann. Wie immer werden die Bedrohungsakteure das nutzen, was am effektivsten ist.