Bilinmeyen bir siber suçlu grubu, araştırmacıların onlarca yıldır devam ettiğini söylediği saldırılarda truva atı benzeri kötü amaçlı yazılımlarla havacılık, uzay, savunma, ulaşım ve üretim sektörlerindeki kuruluşları hedef alıyor. Kod adı TA2541 olan ve Proofpoint’teki siber güvenlik araştırmacıları tarafından detaylandırılan siber suç operasyonu, 2017’den beri aktiftir ve Kuzey Amerika, Avrupa ve Orta Doğu’daki yüzlerce organizasyonu tehlikeye atmıştır.
Yıllardır yaygın olmasına rağmen, saldırılar, saldırganların güvenliği ihlal edilmiş makineleri uzaktan kontrol ettiği, ağlarda keşif yaptığı ve hassas verileri çaldığı genel olarak aynı hedefleme ve temaları izleyerek neredeyse hiç gelişmedi.
Sherrod DeGrippo, “TA2541 hakkında dikkate değer olan şey, uzaktan erişim truva atlarını dağıtmak için genellikle havacılık, uzay ve ulaşımla ilgili aynı temaları tekrar tekrar kullanarak siber suçlara yaklaşımlarında son beş yılda ne kadar az değişiklik yapmış olmalarıdır” dedi. , Proofpoint’te tehdit araştırma ve algılama başkan yardımcısı.
“Bu grup, ulaşım, lojistik ve seyahat sektörlerindeki hedefler için kalıcı bir tehdit oluşturuyor. Saldırılar, hedeflenen sektörlerdeki bireyler ve işletmelerle alakalı olacak şekilde tasarlanmış kimlik avı e-postalarıyla başlar. Örneğin, havacılık ve uzay endüstrisindeki hedeflere gönderilen bir yem, uçak parçaları için talep gibi görünürken, bir diğeri, uçak uçuş detayları için acil bir talep gibi görünecek şekilde tasarlanmıştır: hava ambulansı. Bir noktada saldırganlar Covid-19 temalı tuzaklar kurdular, ancak bunlar hızla terk edildi.
İyi kurulmuş bir saldırı modeli
Yemler son derece kişiselleştirilmemiş ve düzenli kalıpları takip etmese de, yıllar içinde gönderilen mesajların sayısı -toplamda yüzbinlerce- ve ima edilen aciliyetleri, kurbanları kötü amaçlı yazılım indirmeleri için kandırmak için yeterlidir. Mesajlar neredeyse her zaman İngilizcedir.
TA2541 başlangıçta Uzaktan Erişim Truva Atı’nın yükünü indiren makro yüklü Microsoft Word ekleri içeren e-postalar gönderdi, ancak grup kısa süre önce kötü amaçlı bir Visual Basic Komut Dosyası (VBS) dosyasına yol açan Google Drive ve Microsoft OneDrive URL’lerini kullanmaya başladı.
Adları ilk yemle benzer temaları takip eden bu dosyalarla etkileşim kurmak, güvenliği ihlal edilmiş Windows makinelerine kötü amaçlı yazılım indirmek için PowerShell işlevlerinin kullanılmasına olanak tanır. Bu kampanyalar başladığından beri TA2541 üyeleri, tümü karanlık web forumlarında satın alınabilen veya açık kaynak depolarından indirilebilen bir düzineden fazla farklı kötü niyetli Truva atı yükü dağıttı.
Şu anda, TA2541 tarafından yürütülen kampanyalarda en sık yayınlanan kötü amaçlı yazılım AsyncRAT’tır, ancak diğer popüler yükler arasında NetWire, WSH RAT ve Parallax bulunur. Hangi kötü amaçlı yazılım kullanılırsa kullanılsın, virüslü makinelerin kontrolünü uzaktan ele geçirmek ve verileri çalmak için kullanılıyor, ancak araştırmacılar grubun nihai hedefinin ne olduğunu veya nereden çalıştığını hala bilmediklerini belirtiyor. Kampanya hala aktif ve saldırganlar, kimlik avı e-postaları dağıtmaya ve dünyanın dört bir yanındaki kurbanlara kötü amaçlı yazılım dağıtmaya devam edecekleri konusunda uyardı.
Kaynak: ZDNet.com