Los analistas de amenazas de Proofpoint están publicando hoy detalles de un actor ciberdelincuente persistente que se dirige a organizaciones de las industrias de aviación, aeroespacial, transporte y defensa con phishes específicamente diseñados y relacionados con el transporte, como cotizaciones de repuestos o combustible, o solicitudes de información en privado. charters, y evita los temas de noticias de moda y otros atractivos más comunes.
Aunque el grupo ha estado activo y rastreado durante unos cinco años, ahora han salido a la luz suficientes datos para que sus diversas actividades se vinculen en un solo grupo de actividades de amenazas. Proofpoint lo ha designado como TA2541, y otras unidades de investigación, como Cisco Talos, también lo han seguido.
Proofpoint evaluó al grupo como un actor ciberdelincuente motivado financieramente porque prefiere el malware básico, la focalización amplia con mensajes de gran volumen y la infraestructura de comando y control.
“Lo que llama la atención sobre TA2541 es lo poco que ha cambiado su enfoque del delito cibernético en los últimos cinco años, utilizando repetidamente los mismos temas, a menudo relacionados con la aviación, la industria aeroespacial y el transporte para distribuir troyanos de acceso remoto”, dijo Sherrod DeGrippo, director de Proofpoint. Vicepresidente de investigación y detección de amenazas. “Este grupo es una amenaza persistente para los objetivos en las industrias de transporte, logística y viajes”.
TA2541 apunta a sus víctimas con troyanos de acceso remoto (Rats) entregados inicialmente a través de documentos de Microsoft Word cargados de macros, aunque ahora ha pasado a usar archivos maliciosos alojados en servicios de alojamiento en la nube, con Google Drive particularmente favorecido.
Últimamente, también comenzó a usar las URL de DiscordApp, y Proofpoint evaluó que Discord se está volviendo cada vez más popular como red de entrega de contenido (CDN). También se sabe que envía archivos maliciosos como archivos adjuntos de correo electrónico, aunque esto es más raro.
Por lo general, TA2451 utilizará un archivo de script básico visual (VBS) para establecer la persistencia con su carga útil. Parece especialmente aficionado al malware AsyncRAT, pero ha utilizado más de 17 malware básicos en el pasado. Sus variedades favoritas incluyen NetWire, WSH Rat y Parallax, pero también Imminent Monitor y AgentTesla.
El grupo utiliza servidores privados virtuales para enviar sus correos electrónicos y, a menudo, se le ha visto utilizando Dynamic DDS (DDNS) para la infraestructura de comando y control (C2). Proofpoint dijo que había encontrado múltiples patrones repetitivos en la infraestructura C2 y los artefactos de mensajes, incluido el uso de tres términos clave, “kimjoy”, “h0pe” y “grace”, en sus dominios y URL de preparación de carga útil. También se sabe que favorece a los mismos registradores de dominios, haciendo uso de Netdorm y No-IP DDNS, y proveedores de alojamiento como xTom y Danilenko Artyom.
El análisis de sus diversas campañas parece mostrar que TA2451 utiliza un enfoque bastante poco específico para adquirir a sus víctimas, enviando varios miles de mensajes de correo electrónico a docenas de organizaciones de una sola vez. Tampoco persigue a personas con roles o funciones específicas, como finanzas o recursos humanos. Se cree que miles de organizaciones han sido objeto de ataques a lo largo de los años.
“TA2451 sigue siendo una amenaza constante y activa, especialmente para las entidades en sus sectores objetivo con mayor frecuencia”, escribieron los analistas de Proofpoint. “Proofpoint evalúa con gran confianza que este actor de amenazas continuará utilizando los mismos TTP observados en la actividad histórica con cambios mínimos en sus temas de señuelo, entrega e instalación”.