به گزارش کارگروه حملات سایبری سایبربان؛ یک گروه هکری نه چندان حرفه ای به نام TA2541 سال هاست با استفاده از بدافزارهای قابل دسترسی، شرکت های فعال در صنعت هواپیمایی و دیگر صنایع حساس از جمله هوافضا، حمل و نقل، تولید و دفاع را هدف قرار می دهد.
این گروه هکری دست کم از سال 2017 کمپین مخرب خود را آغاز کرده است.
شرکت امنیت سایبری پروف پوینت مدعی است این گروه در نیجریه مستقر می باشد.
طبق ادعای این شرکت، TA2541 روش حمله خود را تغییر نداده و با تکیه بر اسناد مخرب مایکروسافت ورد اقدام به انتقال RAT می کند.
این گروه در یکی از کمپین های خود صدها هزار ایمیل (اکثرا به زبان انگلیسی) را به صدها سازمان در سرتاسر دنیا ارسال کرد. لازم به ذکر است اکثر اهداف این گروه در آمریکای شمالی، اروپا و خاورمیانه مستقر هستند.
بر اساس ادعای پروف پوینت اما این گروه اخیرا به جای ضمایم مخرب، از پی لودهایی استفاده می کند که در سرویس های ابری مانند گوگل درایو میزبان هستند.
TA2541 از بدافزارهای اختصاصی ساخت خود استفاده نمی کند و ابزارهای موجود در فروم های هکری را خریداری می کند. طبق مشاهدات محققین، AsyncRAT، NetWire، WSH RAT و Parallax جزو اصلی ترین علاقه مندی های گروه نام برده به حساب می آیند.
پروف پوینت بر این باور است که تمامی بدافزارهای مورد استفاده در کمپین های TA2541 می توانند در جهت جمع آوری اطلاعات مورد استفاده قرار بگیرند. هدف نهایی بازیگران مخرب در حال حاضر نامشخص است.
معمولا استارت حملات این گروه با ارسال ایمیل مرتبط به پرواز، هواپیما، سوخت، قایق تفریحی، چارتر و محموله زده می شود و با انتقال یک سند مخرب ادامه پیدا می کند.
طبق مشاهدات پروف پوینت این گروه در کمپین های اخیر خود از URL های گوگل درایوی در ایمیل ها استفاده می کند که به فایل مبهم سازی شده VBS منتهی می شود. در صورت اجرای این فایل، پاورشل یک فایل اجرایی را از یک فایل متنی موجود در پلتفرم های متنوعی مانند گیت هاب خارج می کند. مهاجمین در مرحله بعد، پاورشل را در فرآیندهای مختلف ویندوز اجرا می کند و به جستجوی محصولات امنیتی موجود می پردازد.
این گروه سپس تلاش می کند محافظت های دفاعی موجود را غیر فعال و پیش از دانلود پی لود RAT بر روی میزبان نا ایمن، شروع به جمع آوری اطلاعات سیستم کند.
گروه نام برده بیش از 5 سال است که در حوزه فعالیت های مخرب سایبری فعالیت دارد.
