Il Gruppo Hacker TA2541 Diffonde RAT con attacchi spear-phishing
Indice:
Il 15 febbraio 2022, Proofpoint i ricercatori hanno avvertito del gruppo di hacker TA2541. Un cluster criminale soprannominato TA2541 è attivo dal 2017 (e, tuttavia, è riuscito a rimanere piuttosto discreto) e si riporta che diffonde costantemente trojan ad accesso remoto (RAT), consentendo agli avversari di ottenere dati sensibili dalle reti e dispositivi compromessi, o persino prendere il controllo del sistema compromesso. Il suddetto rapporto è in linea con i dati forniti da diverse altre aziende IT e di sicurezza informatica, come Microsoft, Morphisec, Cisco Talos e Mandiant.
Cluster di attività di minaccia TA2541
Secondo le informazioni attuali, TA2541 è un’organizzazione di minaccia persistente avanzata (APT) che ha dimostrato coerenza nelle tattiche, tecniche e procedure impiegate nel tempo. Gli operatori del gruppo di hacker TA2541 hanno utilizzato profuse campagne email dannose per eseguire molteplici reati di spionaggio e spyware mirati ai settori chiave da cinque anni a questa parte, impegnandosi in crimini di alto valore. L’elenco dei settori colpiti include, ma non è limitato a, aviazione, trasporti, difesa, aerospaziale e manifatturiero.
Questo cluster di attività di minaccia è riuscito a rimanere abbastanza efficacemente sotto il radar nel corso degli anni, quindi non ci sono molte informazioni disponibili sulle loro operazioni. Tuttavia, un numero sufficiente di casi può essere ricondotto a questo APT, con la maggior parte degli obiettivi del gruppo situati negli USA, in Europa e in Medio Oriente.
Campagne TA2541
Il TA2541 APT utilizza malware di consumo per ottenere il controllo delle reti e dei dispositivi delle vittime. I ricercatori segnalano che il TA2541 preferisce bombardare le vittime con email di phishing con documenti Microsoft Word abilitati per macro per consegnare carichi utili di RAT. In quelle campagne di phishing ad alto volume, gli hacker dietro il TA2541 attirano i destinatari delle email con argomenti specifici del settore. Quelle tattiche di esca sono tipicamente costruite intorno a questioni fittizie legate al trasporto, spingendo le vittime ad aprire il documento infetto, cliccare su un link, portando a carichi utili ospitati su servizi cloud, più comunemente Google Drive o OneDrive.
Nelle campagne più recenti, TA2541 ha utilizzato Visual Basic Script (VBS), disponibile tramite un URL di Google Drive, hanno detto i ricercatori di Proofpoint. Gli operatori APT abusano di PowerShell per eseguire eseguibili nel tentativo di disabilitare le protezioni di sistema. È stato anche rilevato che TA2541 raccoglie informazioni di sistema prima di installare i RAT.
Rilevamento degli attacchi informatici TA2541
Per potenziare le tue difese contro gli attacchi collegati a TA2541 e rilevare possibili compromissioni della tua infrastruttura, scarica una regola Sigma rilasciata dal nostro appassionato sviluppatore di Threat Bounty Osman Demir:
Questo rilevamento ha traduzioni per le seguenti piattaforme SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, LimaCharlie, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, Microsoft Defender ATP, Apache Kafka ksqlDB, Carbon Black, AWS OpenSearch, Securonix e Open Distro.
La regola è allineata con l’ultima versione del framework MITRE ATT&CK® v.10, affrontando la tattica di Esecuzione con Command and Scripting Interpreter come tecnica principale (T1059).
Unisciti a SOC Prime, la prima piattaforma al mondo per la difesa informatica collaborativa, la caccia alle minacce e la scoperta che si integra con oltre 20 piattaforme SIEM e XDR. Caccia le minacce più recenti, automatizza l’indagine sulle minacce e ottieni feedback e verifica da parte di una comunità di oltre 20.000 professionisti della sicurezza per potenziare le tue operazioni di sicurezza. Creare il tuo contenuto? Sfrutta la potenza della più grande comunità di difesa informatica del mondo unendoti al programma SOC Prime Threat Bounty e guadagna un reddito stabile condividendo il tuo contenuto di rilevamento.
