Mismo autor detrás de ataques cibernéticos en aviación y defensa
Los investigadores de seguridad de Proofpoint han anunciado el descubrimiento de un actor de amenazas común detrás de ataques reportados por Cisco Talos, Microsoft y otros, y afirman que el grupo ha estado activo desde al menos 2017.
Apodado TA2541, Proofpoint dijo que el individuo o grupo ha estado principalmente intentando infectar objetivos en las industrias de la aviación, el espacio, el transporte y la defensa con troyanos de acceso remoto (RATs).
"Normalmente, sus campañas de malware incluyen cientos a miles de mensajes...Las campañas afectan a cientos de organizaciones en todo el mundo, con objetivos recurrentes en América del Norte, Europa y Oriente Medio. Los mensajes casi siempre están en inglés", dijo el informe.
VER: Brecha de contraseñas: Por qué la cultura pop y las contraseñas no deben mezclarse (PDF gratuito) (Newsmatic)
Proofpoint señaló que, aunque TA2541 utiliza malware genérico que se puede comprar en la Dark Web o copiar de sitios de código abierto, muestra poca variación en sus campañas. Otros actores de amenazas que utilizan malware genérico, según Proofpoint, tienden a utilizar eventos actuales, noticias y otros temas de actualidad para atraer a los objetivos.
Debido a que utiliza volúmenes masivos, malware genérico y tiene una considerable infraestructura de comando y control, Proofpoint dice creer que TA2541 "es un actor de amenazas cibernéticas" y no simplemente una operación de bajo nivel.
Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivelCómo TA2541 ataca a sus objetivos
Además de una breve adopción de correos electrónicos de phishing temáticos sobre COVID-19, TA2541 ha mantenido un curso constante de atacar a organizaciones a través de correos electrónicos que solicitan cotizaciones para piezas aeronáuticas, vuelos ambulatorios y otros objetivos específicos. Incluso sus mensajes de COVID mantenían el tema aeroespacial, con un mensaje destacado en el informe buscando una cotización para un envío de equipos de protección personal (PPE).
Los archivos que contienen scripts maliciosos que descargan malware son una técnica común, y Proofpoint dijo que TA2541 ha utilizado ese método en campañas anteriores. Las campañas más recientes, según Proofpoint, han estado utilizando URL que se conectan a un archivo de Google Drive con un archivo VBS ofuscado.
A su vez, ese archivo hace que PowerShell extraiga un ejecutable de un archivo de texto alojado en sitios como Pastebin, que a su vez utiliza PowerShell para ingresar a procesos de Windows, recopilar información e intentar desactivar el software de seguridad, y luego descargar el RAT en sí mismo.
Además de utilizar servicios en la nube pública como Google Drive y OneDrive, TA 2541 también ha sido visto utilizando URL de Discord que enlazan a archivos comprimidos que descargan uno de dos malwares genéricos: AgentTesla o Imminent Monitor.
TA 2541 puede hacerse persistente añadiendo tareas programadas y entradas de registro, y a pesar de utilizar una variedad de malware genérico, Proofpoint dijo que su cadena de ataque siempre es la misma. El resultado final también es similar: TA2541 obtiene la capacidad de controlar de forma remota las máquinas infectadas.
Cómo evitar convertirse en una víctima de TA2541
Una de las cosas más preocupantes de las campañas de TA2541 es que lanzan una red increíblemente amplia que, según Proofpoint, no parece dirigirse a personas con roles y funciones específicos. Esto significa que cualquiera en las miles de organizaciones que ha sido objetivo podría ser un punto de ingreso.
Cómo proteger tu computadora de los virus: métodos y consejos"Proofpoint evalúa con alta confianza que este actor de amenazas seguirá utilizando las mismas tácticas, técnicas y procedimientos observados en la actividad histórica con cambios mínimos en sus temas de engaño, entrega e instalación", dijo el informe.
VER: Google Chrome: Consejos de seguridad y de interfaz de usuario que debes conocer (Newsmatic Premium)
Al igual que otras campañas lanzadas mediante ataques de phishing, los métodos de TA2541 requieren que una persona cometa un error. La mejor manera de combatir ese tipo de errores es capacitando a las personas para que reconozcan correos electrónicos y mensajes sospechosos, así como tener herramientas de seguridad anti-phishing adecuadas en su lugar que puedan intervenir cuando ocurran errores inevitablemente.
Incluidos en el informe de Proofpoint se encuentran indicadores de compromiso de C2, VBS hash y firmas ET que los equipos de seguridad deberían asegurarse de que sus sistemas puedan detectar.
¡Defiéndete! Protege tu seguridad en línea contra amenazas críticasEn Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Mismo autor detrás de ataques cibernéticos en aviación y defensa , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados