Le groupe de hackers TA2541 diffuse des RATs dans des attaques de harponnage
Table des matières :
Le 15 février 2022, Proofpoint les chercheurs ont mis en garde contre le groupe de hackers TA2541. Un groupe criminel baptisé TA2541 est actif depuis 2017 (bien que réussissant à rester relativement discret) et il est rapporté qu’il propage continuellement des trojans d’accès à distance (RATs), permettant aux adversaires d’obtenir des données sensibles des réseaux et appareils compromis, voire de prendre le contrôle du système compromis. Le rapport mentionné ci-dessus est en accord avec les données fournies par plusieurs autres entreprises informatiques et de cybersécurité, telles que Microsoft, Morphisec, Cisco Talos et Mandiant.
Cluster d’Activités de Menaces TA2541
D’après les informations actuelles, TA2541 est une organisation de menaces persistantes avancées (APT) qui a fait preuve de constance dans les tactiques, techniques et procédures utilisées au fil du temps. Les opérateurs du groupe de hackers TA2541 ont utilisé d’abondantes campagnes d’e-mails malveillants pour mener à bien de multiples délits d’espionnage et de logiciels espions ciblant les industries clés depuis cinq ans maintenant, s’engageant dans des crimes très lucratifs. La liste des secteurs touchés comprend, sans s’y limiter, l’aviation, le transport, la défense, l’aérospatiale et la fabrication.
Ce cluster d’activité de menace a réussi à rester assez bien sous le radar au fil des ans, de sorte qu’il n’y a pas beaucoup d’informations disponibles sur leurs opérations. Cependant, suffisamment de cas peuvent être retracés jusqu’à cet APT, avec la plupart des cibles du groupe situées aux États-Unis, en Europe et au Moyen-Orient.
Campagnes TA2541
TA2541 APT utilise des logiciels malveillants standard pour prendre le contrôle des réseaux et appareils des victimes. Les chercheurs rapportent que le TA2541 préfère bombarder les victimes avec des e-mails de phishing comprenant des documents Microsoft Word avec macros activées pour délivrer des charges utiles de RAT. Dans ces campagnes de phishing de grande ampleur, les hackers derrière TA2541 attirent les destinataires d’e-mails avec des sujets spécifiques à l’industrie. Ces tactiques d’appât sont généralement basées sur de fausses problématiques liées au transport, poussant les victimes à ouvrir le document infecté, à cliquer sur un lien, menant à des charges utiles hébergées sur des services cloudles plus couramment Google Drive ou OneDrive.
Dans les campagnes les plus récentes, TA2541 a utilisé Visual Basic Script (VBS), disponible via une URL Google Drive, selon les chercheurs de Proofpoint. Les opérateurs APT abusent de PowerShell pour exécuter des exécutables dans le but de neutraliser les protections du système. Il a également été détecté que TA2541 collecte des informations système avant d’installer des RATs.
Détection de Cyber-Attaques TA2541
Pour renforcer vos défenses contre les attaques liées à TA2541 et détecter d’éventuelles compromissions de votre infrastructure, téléchargez une règle Sigma publiée par notre développeur astucieux Threat Bounty Osman Demir:
Cette détection dispose de traductions pour les plateformes SIEM, EDR et XDR suivantes: Microsoft Sentinel, Elastic Stack, Splunk, LimaCharlie, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, Microsoft Defender ATP, Apache Kafka ksqlDB, Carbon Black, AWS OpenSearch, Securonix et Open Distro.
La règle est alignée avec le dernier cadre MITRE ATT&CK® v.10, abordant la tactique d’Exécution avec l’Interprète de Commandes et Scripts comme technique principale (T1059).
Rejoignez SOC Prime, la première plateforme mondiale pour la défense cyber collaborative, la chasse et la découverte de menaces, qui s’intègre à plus de 20 plateformes SIEM et XDR. Chassez les menaces les plus récentes, automatisez les enquêtes de menaces et obtenez des retours et des validations par plus de 20 000 membres de la communauté des professionnels de la sécurité pour améliorer vos opérations de sécurité. Vous créez votre propre contenu ? Profitez de la puissance de la plus grande communauté de défense cyber au monde en rejoignant le programme SOC Prime Threat Bounty, et gagnez des revenus stables en partageant votre contenu de détection.
