Hackergruppe TA2541 verbreitet RATs in Spear-Phishing-Angriffen
Inhaltsverzeichnis:
Am 15. Februar 2022 Proofpoint warnten Forscher vor der Hackergruppe TA2541. Ein kriminelles Cluster namens TA2541 ist seit 2017 aktiv (wenn auch meist unauffällig geblieben) und ist dafür bekannt, konsequent Remote-Access-Trojaner (RATs) zu verbreiten, die es Angreifern ermöglichen, sensible Daten von kompromittierten Netzwerken und Geräten zu erlangen oder sogar die Kontrolle über das infizierte System zu übernehmen. Der oben genannte Bericht stimmt mit den Daten mehrerer anderer IT- und Cybersicherheitsunternehmen überein, wie Microsoft, Morphisec, Cisco Talos und Mandiant.
Bedrohungsaktivitätscluster TA2541
Gemäß den aktuellen Informationen ist TA2541 eine Advanced Persistent Threat (APT) Organisation, die über die Zeit Beständigkeit in angewandten Taktiken, Techniken und Verfahren gezeigt hat. Die Betreiber der Hackergruppe TA2541 verwenden ausgiebige bösartige E-Mail-Kampagnen, um seit fünf Jahren mehrere Spionage- und Spyware-Delikte gegen Schlüsselsektoren zu verüben, die mit hochdotierten Verbrechen einhergehen. Die Liste der betroffenen Sektoren umfasst, ist jedoch nicht beschränkt auf Luftfahrt, Transport, Verteidigung, Luft- und Raumfahrt sowie Fertigung.
Dieses Bedrohungsaktivitätscluster blieb über die Jahre sehr erfolgreich unter dem Radar, daher gibt es nicht viel verfügbare Informationen über deren Operationen. Jedoch können genügend Fälle auf dieses APT zurückgeführt werden, wobei die meisten Zielobjekte der Gruppe in den USA, Europa und dem Nahen Osten liegen.
TA2541 Kampagnen
TA2541 APT verwendet Standard-Malware , um die Netzwerke und Geräte der Opfer in Besitz zu nehmen. Forscher berichten, dass TA2541 es vorzieht, Opfer mit Phishing-E-Mails mit Makro-aktivierten Microsoft Word-Dokumenten zu bombardieren, um RAT-Nutzlasten zu liefern. In diesen umfangreichen Phishing-Kampagnen ködern die Hacker hinter TA2541 die E-Mail-Empfänger mit branchenspezifischen Themen. Diese Köder-Taktiken basieren typischerweise auf gefälschten transportbezogenen Problemen, die die Opfer dazu verleiten, das infizierte Dokument zu öffnen oder auf einen Link zu klicken, der zu Nutzlasten führt, die auf Cloud-Services gehostet werden, häufig Google Drive oder OneDrive.
In den jüngsten Kampagnen nutzte TA2541 Visual Basic Script (VBS), verfügbar über eine Google Drive-URL, sagten Proofpoint-Forscher. Die APT-Operatoren missbrauchen PowerShell, um ausführbare Dateien auszuführen, in einem Versuch, den Systemschutz zu deaktivieren. Es wurde auch festgestellt, dass TA2541 Systeminformationen sammelt, bevor sie RATs installieren.
TA2541 Cyber-Angriffe Erkennung
Um Ihre Abwehr gegen Angriffe, die mit TA2541 verbunden sind, zu stärken und mögliche Kompromisse Ihrer Infrastruktur zu erkennen, laden Sie sich eine Sigma-Regel herunter, die von unserem aufmerksamen Threat Bounty-Entwickler Osman Demir:
Diese Erkennung hat Übersetzungen für die folgenden SIEM-, EDR- und XDR-Plattformen: Microsoft Sentinel, Elastic Stack, Splunk, LimaCharlie, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, Microsoft Defender ATP, Apache Kafka ksqlDB, Carbon Black, AWS OpenSearch, Securonix und Open Distro.
Die Regel ist im Einklang mit dem neuesten MITRE ATT&CK® Rahmenwerk v.10 und adressiert die Execution-Taktik mit Command and Scripting Interpreter als Haupttechnik (T1059).
Treten Sie SOC Prime bei, der weltweit ersten Plattform für kollaborative Cyberabwehr, Bedrohungssuche und -erkennung, die sich mit über 20 SIEM- und XDR-Plattformen integriert. Fahnden Sie nach den neuesten Bedrohungen, automatisieren Sie die Bedrohungsuntersuchung und erhalten Sie Feedback und Überprüfung von über 20.000 Mitgliedern der Community von Sicherheitsfachleuten, um Ihre Sicherheitsoperationen zu verbessern. Möchten Sie eigene Inhalte erstellen? Nutzen Sie die Macht der weltweit größten Cyberabwehr-Community, indem Sie dem SOC Prime Threat Bounty Programm beitreten und ein stabiles Einkommen durch das Teilen Ihrer Erkennungsinhalte verdienen.
