Новости и события » Общество » Хакерская группировка из Нигерии годами атакует авиационную отрасль по всему миру

Хакерская группировка из Нигерии годами атакует авиационную отрасль по всему миру

Хакерская группировка из Нигерии годами атакует авиационную отрасль по всему миру

В течение многих лет злоумышленники с низкой квалификацией использовали готовое вредоносное ПО во вредоносных кампаниях, нацеленных на предприятия авиационного сектора. Злоумышленники действуют как минимум с 2017 года, атакуя предприятия авиационной, аэрокосмической, транспортной, производственной и оборонной отраслей.

По словам специалистов ИБ-компании Proofpoint, группировка TA2541 действует из Нигерии, и ее деятельность была зафиксирована в предыдущих отдельных кампаниях. TA2541 полагается на вредоносные документы Microsoft Word для установки инструмента для удаленного доступа (RAT).

Типичная кампания вредоносного ПО данной группировки включает отправку от сотен до тысяч электронных писем в основном на английском языке сотням организаций по всему миру с повторяющимися целями в Северной Америке, Европе и на Ближнем Востоке.

Однако недавно группа переключилась с вредоносных вложений на ссылки на полезную нагрузку, размещенную в облачных сервисах, таких как Google Drive.

TA2541 использует не свои разработки, а стандартные вредоносные инструменты, доступные для покупки на киберпреступных форумах. По наблюдениям исследователей, инструменты AsyncRAT, NetWire, WSH RAT и Parallax пользуются наибольшей популярностью у группировки и чаще других используются во вредоносных сообщениях.

Все вредоносные программы, используемые в кампаниях TA2541, могут использоваться для сбора информации, но конечная цель злоумышленников на данный момент остается неизвестной.

Типичная цепочка атаки TA2541 начинается с отправки электронного письма, которое обычно связано с транспортом (например, рейсом, самолетом, топливом, яхтой, чартером, грузом) и содержит вредоносный документ.

"Группировка использует URL-адреса Google Диска в электронных письмах, которые ведут к обфусцированному файлу Visual Basic Script (VBS). При выполнении PowerShell-скрипт извлекает исполняемый файл из текстового файла, размещенного на различных платформах, таких как Pastetext, Sharetext и GitHub", - отметили специалисты.

На следующем этапе злоумышленники запускают PowerShell-скрипт в различные процессы Windows и ищет доступные продукты безопасности, запрашивая инструментарий управления Windows (WMI). Затем они пытаются отключить встроенную защиту и начинают собирать системную информацию перед загрузкой RAT на скомпрометированную систему.

Microsoft Европа США


Maxtang MAX-N100 - мини-ПК со встроенным блоком питания как у Mac...

Maxtang MAX-N100 - мини-ПК со встроенным блоком питания как у Mac mini

В продажу поступил новый компактный компьютер Maxtang MAX-N100 Mini PC. Единственное, чем он примечателен, это встроенный блок питания как у Mac mini (2024). У большинства современных мини-ПК блок питания внешний, но Maxtang MAX-N100 Mini PC - не тот...

сегодня 15:15

Свежие новости Украины на сегодня и последние события в мире экономики и политики, культуры и спорта, технологий, здоровья, происшествий, авто и мото

Вверх