El Grupo de Hackers TA2541 Distribuye RATs en Ataques de Spear-Phishing

[post-views]
febrero 18, 2022 · 3 min de lectura
El Grupo de Hackers TA2541 Distribuye RATs en Ataques de Spear-Phishing

El 15 de febrero de 2022, Proofpoint los investigadores advirtieron sobre el grupo de hackers TA2541. Un conglomerado criminal denominado TA2541 ha estado activo desde 2017 (aunque logrando mantenerse bastante discreto) y se informa que propaga consistentemente troyanos de acceso remoto (RATs), permitiendo a los adversarios obtener datos sensibles de las redes y dispositivos intervenidos, o incluso obtener control del sistema comprometido. El informe mencionado anteriormente está en línea con los datos proporcionados por varias otras empresas de TI y ciberseguridad, como Microsoft, Morphisec, Cisco Talos y Mandiant.

Cluster de Actividad de Amenazas TA2541

Según la información actual, TA2541 es una organización de amenaza persistente avanzada (APT) que ha mostrado coherencia en las tácticas, técnicas y procedimientos empleados a lo largo del tiempo. Los operadores del grupo de hackers TA2541 han estado usando profusas campañas de correos electrónicos maliciosos para llevar a cabo múltiples delitos de espionaje y spyware dirigidos a las industrias clave durante cinco años, involucrándose en crímenes de alto valor. La lista de sectores afectados incluye, pero no se limita a, aviación, transporte, defensa, aeroespacial y manufactura.

Este conglomerado de actividad de amenazas ha logrado mantenerse bastante exitosamente bajo el radar a lo largo de los años, por lo que no hay mucha información disponible sobre sus operaciones. Sin embargo, se pueden rastrear suficientes casos hasta este APT, con la mayoría de los objetivos del grupo ubicados en EE. UU., Europa y Medio Oriente.

Campañas de TA2541

TA2541 APT utiliza malware común para apoderarse de las redes y dispositivos de las víctimas. Los investigadores informan que TA2541 prefiere bombardear a las víctimas con correos electrónicos de phishing con documentos Microsoft Word habilitados con macros para entregar cargas útiles de RAT. En esas campañas de phishing de alto volumen, los hackers detrás de TA2541 atraen a los destinatarios de correos electrónicos con temas específicos de la industria. Esas tácticas de cebo generalmente se construyen en torno a problemas falsos relacionados con el transporte, instando a las víctimas a abrir el documento infectado, o hacer clic en un enlace que conduce a cargas útiles alojadas en servicios, más comúnmente Google Drive o OneDrive.

En las campañas más recientes, TA2541 usó Visual Basic Script (VBS), disponible a través de una URL de Google Drive, dijeron los investigadores de Proofpoint. Los operadores de APT abusan de PowerShell para ejecutar ejecutables en un intento de eliminar las protecciones del sistema. También se detectó que TA2541 recopila información del sistema antes de instalar RATs.

DetecciĂłn de Ciberataques TA2541

Para aumentar sus defensas contra los ataques vinculados a TA2541 y detectar posibles compromisos en su infraestructura, descargue una regla Sigma publicada por nuestro experto desarrollador de Threat Bounty Osman Demir:

TA2541 apuntando a industrias de Aviación, Aeroespacial, Transporte y Defensa (a través de creación_proceso)

Esta detecciĂłn tiene traducciones para las siguientes plataformas SIEM, EDR y XDR: Microsoft Sentinel, Elastic Stack, Splunk, LimaCharlie, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Grep de Regex, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, Microsoft Defender ATP, Apache Kafka ksqlDB, Carbon Black, AWS OpenSearch, Securonix y Open Distro.

La regla está alineada con el último marco de MITRE ATT&CK® v.10, abordando la táctica de Ejecución con Command y Scripting Interpreter como la técnica principal (T1059).

Únete a SOC Prime, la primera plataforma del mundo para la defensa cibernética colaborativa, búsqueda de amenazas y descubrimiento que se integra con más de 20 plataformas SIEM y XDR. Busca las últimas amenazas, automatiza la investigación de amenazas y obtén retroalimentación y verificación de una comunidad de más de 20,000 profesionales de seguridad para impulsar tus operaciones de seguridad. ¿Estás creando tu propio contenido? Aprovecha el poder de la comunidad de defensa cibernética más grande del mundo uniéndote al programa SOC Prime Threat Bounty y gana un ingreso estable compartiendo tu contenido de detección.

Ir a la Plataforma Ăšnete a Threat Bounty

Tabla de Contenidos

ÂżFue Ăştil este artĂ­culo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Ăšnase Gratis Reserve una ReuniĂłn

Publicaciones relacionadas

Acceder a la Funcionalidad de Uncoder AI a travĂ©s de API 2 min de lectura Plataforma SOC Prime Acceder a la Funcionalidad de Uncoder AI a travĂ©s de API by Steven Edwards Buscar en el Mercado de DetecciĂłn de Amenazas de Uncoder AI 2 min de lectura Plataforma SOC Prime Buscar en el Mercado de DetecciĂłn de Amenazas de Uncoder AI by Steven Edwards Traducir de Sigma a 48 idiomas 2 min de lectura Plataforma SOC Prime Traducir de Sigma a 48 idiomas by Steven Edwards
Todas las noticias