Malware mod lufttransport

Amatørhacker sat i forbindelse med flere års angreb på luftfartstransport

I årevis har en amatørhacker brugt off-the-shelf malware i ondsindede kampagner rettet mod virksomheder i luftfartssektoren såvel som i andre følsomme industrier. Hackeren har været aktiv siden mindst 2017 og rettet mod enheder inden for luftfarts-, rumfarts-, transport-, fremstillings- og forsvarsindustrien. Gruppen identificeret som TA2541 af cybersikkerhedsselskabet Proofpoint, og menes at operere fra Nigeria og aktiviteten er blevet dokumenteret før i analyse af separate kampagner.

Ikke-sofistikerede angreb

I en rapport bemærker Proofpoint, at TA2541 har været konsekvent om sin angrebsmetode og stolet på Microsoft Word-dokumenter til at levere et RAT (Remote Access Tool). En typisk malware kampagne fra gruppen indebærer at sende “hundreder til tusinder” af e-mails – for det meste på engelsk – til “hundredvis af organisationer globalt, med tilbagevendende mål i Nordamerika, Europa og Mellemøsten.” For nylig, selv om, gruppen skiftede fra vedhæftede filer til at linke til en nyttelast hostet i cloud-tjenester såsom Google Drev, siger Proofpoint analytiker.

Proofpoint fremhæver, at al malware, der bruges i TA2541 kampagner kan bruges til at indsamle oplysninger, men hackerens ultimative mål er stadig ukendt i øjeblikket. En typisk TA2541 angrebskæde starter med at sende en e-mail, der normalt er relateret til transport (f.eks flyvning, fly, brændstof, yacht, charter, last) og leverer et dokument med malware. I næste trin udfører hackeren PowerShell i forskellige Windows-processer og søger efter tilgængelige sikkerhedsprodukter ved at forespørge på WMI (Windows Management Instrumentation). Derefter forsøger det at deaktivere det indbyggede forsvar og begynder at indsamle systemoplysninger, før du downloader RAT-nyttelasten på den kompromitterede vært.

I betragtning af TA2541’s valg af mål er gruppens aktivitet ikke gået ubemærket hen, og sikkerhedsanalytikere fra andre virksomheder har analyseret kampagnerne tidligere, men uden at identificere alle forbindelser. Cisco Talos offentliggjorde en rapport sidste år om en TA2541 kampagne rettet mod luftfartsindustrien med AsyncRAT. Analytikerne konkluderede, at hackeren havde været aktiv i mindst fem år. Baseret på beviser fra at analysere den infrastruktur, der anvendes i angrebet, er det tydeligt at de forbinder sin geografiske placering til Nigeria.

I en enkelt kampagne kan hackeren sende op til flere tusinde e-mails til snesevis af organisationer og er ikke skræddersyet til personer med specifikke roller. Dette viser, at TA2541 ikke beskæftiger sig med at gemme sine handlinger, hvilket yderligere støtter teorien om en amatørhacker. Mens tusindvis af organisationer er blevet målrettet i disse “spray-and-pray” angreb, virksomheder over hele kloden i luftfart, rumfart, transport, fremstilling og forsvar industrier synes at være et konstant mål.

Selv om TA2541 taktik, teknikker og procedurer (TTPs) beskrive en hacker, der ikke er teknisk sofistikeret, har hackeren formået at implementere malwarekampagner i mere end fem år uden at mange flag er blevet hævet.

Kilde: BleepingComputer

Scroll til toppen