https://thehackernews.com/2022/02/experts-warn-of-hacking-group-targeting.html
とりわけ、AsyncRATやNetWireなどのコモディティマルウェアの使用により、企業のセキュリティ会社Proofpointは、「大量のメッセージを使用した広範なターゲティング」を採用するコード名TA2541の「サイバー犯罪脅威アクター」になりました。
グループが使用するソーシャルエンジニアリングのルアーは、トピックのテーマに依存するのではなく、航空、ロジスティクス、輸送、および旅行に関連するおとりのメッセージを活用します。
「TA2541は、リモートアクセス型トロイの木馬を配布するために航空会社を装った電子メールを使用するなど、一部の動作で一貫していますが、配信方法、添付ファイル、URL、インフラストラクチャ、マルウェアの種類などの他の戦術が変更されました」脅威調査担当副社長Sherrod DeGrippoとプルーフポイントでの検出は、ハッカーニュースに語った。
同じテーマの繰り返し使用は別として、一部の感染チェーンには、AgentTeslaまたはImminent Monitorマルウェアを含む圧縮ファイルを指すDiscordアプリのURLの使用も含まれています。
TA2541で採用されているその他の興味深い手法には、電子メール送信インフラストラクチャに仮想プライベートサーバー(VPS)を使用したり、コマンドアンドコントロール(C2)アクティビティにダイナミックDNSを使用したりすることが含まれます。
「さらに、アーカイブファイルや画像ファイル(.ZIP、.ISOなど)を使用して、アクターのペイロードを定期的に監視します。これは、一部の環境での検出と分析の機能にも影響を与える可能性があります。いつものように、脅威のアクターは効果的なものを使用してください」
専門家は、航空および防衛セクターを標的とするハッキンググループに警告します。noreply@ blogger.com(Ravie Lakshmanan)
security summary
コメント