TA2541 Hacker Group Spreads RATs in spear-phishing attacks
Índice:
Em 15 de fevereiro de 2022, Proofpoint pesquisadores alertaram sobre o grupo de hackers TA2541. Um grupo criminoso chamado TA2541 está ativo desde 2017 (ainda conseguindo se manter bastante discreto) e é relatado que espalha consistentemente trojans de acesso remoto (RATs), permitindo que adversários obtenham dados sensíveis das redes e dispositivos comprometidos ou até ganhem controle do sistema atacado. O relatório mencionado está alinhado com os dados fornecidos por várias outras empresas de TI e cibersegurança, como Microsoft, Morphisec, Cisco Talos e Mandiant.
Cluster de Atividade de Ameaça TA2541
De acordo com as informações atuais, TA2541 é uma organização de ameaça persistente avançada (APT) que vem demonstrando consistência nas táticas, técnicas e procedimentos empregados ao longo do tempo. Os operadores do grupo de hackers TA2541 têm usado campanhas de e-mails maliciosos abundantes para realizar múltiplos delitos de espionagem e spyware voltados para indústrias-chave há cinco anos, envolvendo-se em crimes de alto valor. A lista de setores afetados inclui, mas não está limitada a aviação, transporte, defesa, aeroespacial e manufatura.
Esse cluster de atividade de ameaça conseguiu se manter com sucesso fora do radar ao longo dos anos, portanto, não há muitas informações disponíveis sobre suas operações. No entanto, casos suficientes podem ser rastreados até este APT, com a maioria dos alvos do grupo localizados nos EUA, Europa e Oriente Médio.
Campanhas TA2541
A APT TA2541 usa malware comum para obter controle das redes e dispositivos das vítimas. Pesquisadores relatam que a TA2541 prefere bombardear vítimas com e-mails de phishing contendo documentos do Microsoft Word com macros ativadas para entregar cargas úteis de RAT. Nessas campanhas de phishing de alto volume, os hackers por trás da TA2541 atraem os destinatários com tópicos específicos da indústria. Essas táticas de isca são tipicamente construídas em torno de questões fictícias relacionadas ao transporte, levando as vítimas a abrir o documento infectado, clicar em um link, levando a cargas úteis hospedadas em serviços na nuvem,mais comumente Google Drive ou OneDrive.
Nas campanhas mais recentes, a TA2541 usou Visual Basic Script (VBS), disponível através de uma URL do Google Drive, disseram os pesquisadores da Proofpoint. Os operadores do APT abusam do PowerShell para executar executáveis em uma tentativa de desativar proteções do sistema. Também foi detectado que a TA2541 coleta informações do sistema antes de instalar os RATs.
Detecção de Ciberataques TA2541
Para fortalecer suas defesas contra ataques ligados à TA2541 e detectar possíveis comprometimentos de sua infraestrutura, baixe uma regra Sigma lançada por nosso dedicado desenvolvedor Threat Bounty Osman Demir:
Esta detecção tem traduções para as seguintes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, LimaCharlie, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, Microsoft Defender ATP, Apache Kafka ksqlDB, Carbon Black, AWS OpenSearch, Securonix e Open Distro.
A regra está alinhada com a versão 10 do quadro MITRE ATT&CK® mais recente, abordando a tática de Execução com Interprete de Comandos e Scripts como a técnica principal (T1059).
Junte-se ao SOC Prime, a primeira plataforma do mundo para defesa cibernética colaborativa, caça a ameaças e descoberta que integra com mais de 20 plataformas SIEM e XDR. Procure as ameaças mais recentes, automatize a investigação de ameaças e receba feedback e avaliação por mais de 20.000 profissionais da segurança da comunidade para fortalecer suas operações de segurança. Criando seu próprio conteúdo? Aproveite o poder da maior comunidade de defesa cibernética do mundo participando do programa SOC Prime Threat Bounty e ganhe uma renda estável compartilhando seu conteúdo de detecção.
