TA2541 ハッカーグループがスピアフィッシング攻撃でRATを拡散

2022年2月15日に、 Proofpoint 研究者はTA2541ハッカーグループについて警告しました。TA2541と名付けられた犯罪クラスターは2017年以来活動しており（それにもかかわらず、かなり控えめにすることに成功している）、続々とリモートアクセス型トロイの木馬（RAT）を広めて、攻撃者が侵害されたネットワークやデバイスから機密データを取得したり、侵害されたシステムを制御することさえできると報告されています。上述の報告は、Microsoft、Morphisec、Cisco Talos、Mandiantなどの他の多くのITおよびサイバーセキュリティ企業によって提供されたデータと一致しています。

脅威活動クラスター TA2541

現在の情報によれば、TA2541は、時間の経過とともに一貫性を示している高度な持続的脅威（APT）組織です。TA2541ハッカーグループのオペレーターは、過去5年間にわたって主要な産業を標的とした多数のスパイ行為やスパイウェアの犯罪を遂行するために、非常に多くの悪質なメールキャンペーンを利用してきました。影響を受けたセクターのリストには、航空、輸送、防衛、航空宇宙、製造が含まれますが、これに限られていません。

この脅威活動クラスターは、何年にもわたって非常にうまくレーダーの下に留まることに成功しており、その活動についての情報はあまりありません。しかし、十分なケースがこのAPTに遡及することができ、そのグループのターゲットの多くは米国、ヨーロッパ、中東に位置しています。

TA2541キャンペーン

TA2541 APTは 一般的なマルウェア を使用して被害者のネットワークやデバイスにアクセスします。研究者によると、TA2541は、マクロが有効なMicrosoft Word文書で被害者を爆撃し、RATペイロードを配信するフィッシングメールを好んで使用しています。これらの大規模フィッシングキャンペーンでは、TA2541の背後にいるハッカーは、業界特有のトピックでメール受信者を魅了します。それらの 誘いの手口は通常、偽の輸送関連の問題を中心に構築されており、被害者に感染した文書を開くよう促し、リンクをクリックさせ、クラウドサービスにホストされたペイロードへ誘導します。最も一般的にはGoogleドライブやOneDriveです。

最新のキャンペーンでは、TA2541はGoogleドライブURLを通じて利用可能なVisual Basic Script（VBS）を使用しましたとProofpointの研究者は述べています。APTオペレーターはPowerShellを悪用して実行可能ファイルを実行し、システム保護を解除しようとしています。また、TA2541がRATをインストールする前にシステム情報を収集していることも検出されました。

TA2541サイバー攻撃の検出

TA2541に関連する攻撃に対する防御を強化し、インフラストラクチャが侵害されている可能性を検出するために、私たちの熱心なThreat Bounty開発者 Osman Demir:

（プロセス作成経由）によりリリースされたSigmaルールをダウンロードしてください。

この検出は、以下のSIEM、EDR、およびXDRプラットフォームのために翻訳されています：Microsoft Sentinel、Elastic Stack、Splunk、LimaCharlie、Humio、Sumo Logic、ArcSight、QRadar、FireEye、LogPoint、Graylog、Regex Grep、Microsoft PowerShell、RSA NetWitness、Chronicle Security、LimaCharlie、Microsoft Defender ATP、Apache Kafka ksqlDB、Carbon Black、AWS OpenSearch、Securonix、およびOpen Distro。

このルールはMITRE ATT&CK®フレームワークv.10の最新バージョンに整合しており、 実行戦術において、コマンドとスクリプトインタープリターを主要技術として扱っています（T1059）。

SOC Primeに参加しましょう。SOC Primeは、20以上のSIEMおよびXDRプラットフォームと統合された世界初の協調サイバー防御、脅威ハンティング、ディスカバリープラットフォームです。最新の脅威を追跡し、脅威調査を自動化し、20,000を超えるセキュリティ専門家のコミュニティからのフィードバックと検証を受けてセキュリティオペレーションを強化しましょう。独自のコンテンツを作成しますか？SOC Prime Threat Bountyプログラムに参加して、世界最大のサイバー防御コミュニティの力を活用し、あなたの検出コンテンツを共有することで安定した収入を獲得しましょう。

プラットフォームに移動 Threat Bountyに参加する