Los investigadores revelaron el martes un nuevo actor de amenazas que en los últimos cinco años ha atacado a miles de organizaciones con un flujo casi interminable de mensajes maliciosos diseñados para infectar sistemas con malware que roba datos.

TA2541, como la firma de seguridad Proofpoint ha llamado al grupo de piratería, ha estado activo desde al menos 2017, cuando los investigadores de la compañía comenzaron a rastrearlo. El grupo utiliza tácticas, técnicas y procedimientos relativamente rudimentarios, o TTP, para apuntar a organizaciones en las industrias de aviación, aeroespacial, transporte, fabricación y defensa. Estos TTP incluyen el uso de enlaces maliciosos de Google Drive que intentan engañar a los objetivos para que instalen troyanos estándar.

Tenacidad y persistencia

Pero lo que le falta al grupo en sofisticación, lo compensa con una tenacidad y persistencia que, no obstante, le permite prosperar. Desde que Proofpoint comenzó a rastrear al grupo hace cinco años, ha emprendido una serie casi interminable de campañas de malware que generalmente envían de cientos a miles de mensajes a la vez. Una sola campaña puede impactar a cientos de organizaciones en todo el mundo, con énfasis en América del Norte, Europa y Medio Oriente.

“A menudo, las campañas contenían de varios cientos a varios miles de mensajes de correo electrónico a docenas de organizaciones diferentes”, escribieron los investigadores de la compañía Selena Larson y Joe Wise en un artículo. informe publicado el martes. “Aunque Proofpoint ha observado que TA2541 se dirige a miles de organizaciones, varias entidades de las industrias de aviación, aeroespacial, transporte, fabricación y defensa aparecen regularmente como objetivos de sus campañas”.

Investigadores de otras empresas, incluidos Grupo Talos de Cisco, Morfiseco, microsoft, mandantey otros—también han publicado datos sobre actividades similares.

En el informe del martes, Proofpoint describió en detalle los TTP del grupo. Los investigadores de la compañía escribieron:

En campañas recientes, Proofpoint observó que este grupo usaba URL de Google Drive en correos electrónicos que conducían a un archivo de Visual Basic Script (VBS) ofuscado. Si se ejecuta, PowerShell extrae un ejecutable de un archivo de texto alojado en varias plataformas, como Pastetext, Sharetext y GitHub. El actor de amenazas ejecuta PowerShell en varios procesos de Windows y consulta el Instrumental de administración de Windows (WMI) en busca de productos de seguridad, como antivirus y software de firewall, e intenta deshabilitar las protecciones de seguridad integradas. El actor de amenazas recopilará información del sistema antes de descargar la RAT en el host.

La cadena de ataque se ve así:

De vez en cuando, el grupo utiliza Microsoft OneDrive para alojar los troyanos, que a lo largo de los años han incluido más de una docena de familias de malware disponibles para la venta en foros clandestinos de delincuencia o de forma gratuita en repositorios. Las familias incluyen AsyncRAT, NetWire, WSH RAT y Parallax. El malware permite que el grupo recopile información de las redes infectadas y obtenga acceso remoto a las máquinas infectadas. Más recientemente, TA2541 ha utilizado URL de DiscordApp y archivos adjuntos de correo electrónico para distribuir código malicioso.

El grupo consigue que los troyanos alcancen la persistencia, es decir, la capacidad de ejecutarse automáticamente cada vez que se enciende una máquina, utilizando uno de dos métodos. La primera es agregando el archivo VBS a la carpeta de inicio de una computadora. La segunda es creando tareas programadas y agregando entradas en el directorio de Windows. Los scripts de VBS se parecen a este.

Cuando se desofusca, el archivo apunta a la URL https://paste[.]ee/r/01f2w/0. A continuación se muestra una muestra del código de PowerShell utilizado en una campaña reciente:

A pesar de la falta de sofisticación, el grupo debe tomarse en serio. El informe del martes enumera una gran cantidad de dominios maliciosos, hashes de malware y otros indicadores que se pueden usar para detectar incursiones en la red intentadas o exitosas por parte del grupo. Los administradores que trabajan para empresas en una de las industrias objetivo deben verificar sus redes en busca de signos de infección, ya que Proofpoint no ve signos de que el grupo planee detenerse.

“TA2541 sigue siendo una amenaza constante y activa de ciberdelincuencia, especialmente para las entidades en sus sectores más frecuentemente atacados”, escribieron los investigadores de la compañía. “Proofpoint evalúa con gran confianza que este actor de amenazas continuará utilizando los mismos TTP observados en la actividad histórica con cambios mínimos en sus temas de señuelo, entrega e instalación. Es probable que TA2541 continúe usando AsyncRAT y vjw0rm en campañas futuras y probablemente use otro malware básico para respaldar sus objetivos”.