信息來源：安全內(nèi)參

多年來，一名技術(shù)并不高的黑客一直利用現(xiàn)成可用惡意軟件，攻擊航空航天和其它敏感行業(yè)中企業(yè)。Proofpoint 公司將該攻擊者命名為 “TA2541”。

TA2541至少活躍于2017年，攻擊的實體位于航空、航天、運輸、制造和國防行業(yè)。TA2541 被指在尼日利亞發(fā)動攻擊，之前分析其它攻擊活動時就曾被記錄過。

攻擊并不復(fù)雜

Proofpoint 公司發(fā)布報告稱，TA2541 的攻擊方法一致，依靠惡意微軟 Word 文檔傳播遠程訪問木馬。

TA2541 攻擊方法涉及向“全球數(shù)百家組織機構(gòu)”發(fā)送“數(shù)百到數(shù)千份”郵件（多數(shù)為英文郵件），“攻擊目標(biāo)位于北美、歐洲和中東”。不過，最近該黑客從惡意附件轉(zhuǎn)向托管在云服務(wù)如 Google Drive 等的payload 連接。

該黑客并不使用自定義惡意軟件而是可在網(wǎng)絡(luò)犯罪論壇上購買的商用惡意工具。研究人員發(fā)現(xiàn)，該攻擊者使用最多的惡意軟件是 AsyncRAT、NetWire、WSH RAT 和 Parallax。研究人員指出，雖然攻擊者使用的所有惡意軟件都是為了收集信息，不過其最終目的尚無法知曉。

典型的攻擊鏈?zhǔn)前l(fā)送通常與交通（如航班、燃油、游艇、貨物等）相關(guān)的郵件并傳播惡意文檔。接著，攻擊者在多個 Windows 進程中執(zhí)行 PowerShell并通過查詢 WMI而查找可用的安全產(chǎn)品。然后，嘗試禁用內(nèi)置防護措施并開始收集系統(tǒng)信息，之后將RAT payload 下載到受陷主機上。

鑒于 TA2541 的攻擊目標(biāo)情況，其攻擊活動被發(fā)現(xiàn)，其它安全公司過去曾就此進行分析但并未連點成線。思科Talos 團隊曾在去年發(fā)布一份報告稱，該黑客通過 AsyncRAT 攻擊航空行業(yè)，認為該黑客至少已活躍5年。從分析攻擊中所用基礎(chǔ)設(shè)施的證據(jù)來看，思科Talos對黑客進行了畫像，認為其地理位置是在尼日利亞。

在單個攻擊活動中，該攻擊者可向數(shù)十個組織機構(gòu)發(fā)送數(shù)千份郵件，而非為特定角色定制化惡意軟件。這表明 TA2541并不關(guān)注攻擊的隱秘性，進一步說明該黑客是非技術(shù)黑客。

雖然數(shù)千家組織機構(gòu)遭此類攻擊，但實際上在全球范圍內(nèi)，航空、航天、交通、制造和國防行業(yè)似乎是一個永恒的攻擊面。即使 TA2541 的 TTPs 表明它并非復(fù)雜攻擊者，但它仍然設(shè)法在超過5年的時間里發(fā)動惡意活動且并未引起太多注意。

原文鏈接

https://www.bleepingcomputer.com/news/security/unskilled-hacker-linked-to-years-of-attacks-on-aviation-transport-sectors/