- Регистрация
- 17 Февраль 2007
- Сообщения
- 677
- Реакции
- 1.022
- Баллы
- 93
- Возраст
- 57
15 февраля 2022 г. Селена Ларсон и Джо Уайз
TA2541 — настойчивый киберпреступник, который распространяет различные трояны удаленного доступа (RAT), нацеленные, в частности, на авиационную, аэрокосмическую, транспортную и оборонную отрасли. Proofpoint отслеживает этого субъекта угрозы с 2017 года и за это время использовала последовательные тактики, методы и процедуры (TTP). Субъекты в целевых секторах должны быть осведомлены о TTP субъекта и использовать предоставленную информацию для поиска и обнаружения.
TA2541 использует темы, связанные с авиацией, транспортом и путешествиями. Когда Proofpoint впервые начала отслеживать этого субъекта, группа отправляла загруженные макросами вложения Microsoft Word, которые загружали полезную нагрузку RAT. Группа изменилась, и теперь они чаще отправляют сообщения со ссылками на облачные сервисы, такие как Google Drive, на которых размещена полезная нагрузка. Proofpoint оценивает TA2541 как киберпреступника из-за использования специфического вредоносного ПО, широкого таргетинга с большим объемом сообщений и инфраструктуры управления и контроля.
Хотя общедоступные отчеты с подробным описанием аналогичных действий по угрозам существуют по крайней мере с 2019 года, Proofpoint впервые делится подробной информацией, связывающей общедоступные и частные данные в одном кластере действий по угрозам, который мы называем TA2541.
В отличие от многих участников киберпреступлений, распространяющих обычное вредоносное ПО, TA2541 обычно не использует текущие события, актуальные темы или новости в своих приманках социальной инженерии. Почти во всех наблюдаемых кампаниях TA2541 использует темы-приманки, которые включают термины, связанные с транспортом, такие как полет, самолет, топливо, яхта, чартер и т. д.
Рисунок 1: Приманка по электронной почте с запросом информации о деталях самолета.
Рисунок 2: Приманка по электронной почте с запросом информации о амбулаторном полете.
TA2541 демонстрирует постоянную и постоянную активность угроз с января 2017 года. Как правило, его вредоносные кампании включают от сотен до тысяч сообщений, хотя редко можно увидеть, как TA2541 отправляет более 10 000 сообщений за один раз. Кампании затрагивают сотни организаций по всему миру с повторяющимися целями в Северной Америке, Европе и на Ближнем Востоке. Сообщения почти всегда на английском.
Весной 2020 года TA2541 ненадолго переключился на использование тем приманок, связанных с COVID, в соответствии с их общей темой деталей груза и рейса. Например, они распространяли приманки, связанные с грузовыми поставками средств индивидуальной защиты (СИЗ) или наборов для тестирования на COVID-19.
Рисунок 3: Тематическая приманка PPE, используемая TA2541.
Принятие темы COVID-19 было кратким, и злоумышленник быстро вернулся к обычным грузовым, авиационным, чартерным и т. д. тематическим приманкам.
Несколько исследователей опубликовали данные об аналогичных действиях с 2019 года, в том числе Сиско Талос , Морфизек , Майкрософт , Мандиант и независимый исследователи . Proofpoint может подтвердить, что действия в этих отчетах пересекаются с субъектом угрозы, отслеживаемым как TA2541.
В недавних кампаниях Proofpoint наблюдала, как эта группа использует URL-адреса Google Диска в электронных письмах, которые ведут к запутанному файлу Visual Basic Script (VBS). При выполнении PowerShell извлекает исполняемый файл из текстового файла, размещенного на различных платформах, таких как Pastetext, Sharetext и GitHub. Злоумышленник запускает PowerShell в различные процессы Windows и запрашивает у инструментария управления Windows (WMI) продукты безопасности, такие как антивирусное программное обеспечение и брандмауэр, и пытается отключить встроенные средства защиты. Злоумышленник соберет системную информацию перед загрузкой RAT на хост.
Рисунок 4: Пример цепочки атак.
Хотя TA2541 постоянно использует Google Диск, а иногда и OneDrive для размещения вредоносных файлов VBS, начиная с конца 2021 года, Proofpoint заметила, что эта группа начала использовать URL-адреса DiscordApp, ссылающиеся на сжатый файл, который ведет либо к AgentTesla, либо к Imminent Monitor. Discord — это все более популярная сеть доставки контента (CDN), используемая злоумышленниками.
Хотя TA2541 обычно использует URL-адреса как часть доставки, Proofpoint также заметила, что этот субъект использует вложения в электронных письмах. Например, субъект угрозы может отправить сжатые исполняемые файлы, такие как вложения RAR, со встроенным исполняемым файлом, содержащим URL-адрес, в CDN, на которых размещена полезная нагрузка вредоносного ПО.
Ниже приведен пример файла VBS, использованного в недавней кампании с использованием функции StrReverse и функции PowerShell RemoteSigned. Стоит отметить, что имена файлов VBS обычно соответствуют общей тематике электронной почты: бой, самолет, топливо, яхта, чартер и т. д.
Рисунок 5: Содержимое примера файла VBS.
Деобфусцированная команда:
На рисунке ниже показан пример недавней кампании, в которой код PowerShell размещен на URL-адресе paste.ee.
Рисунок 6: Пример вставки URL.
Упорство:
Как правило, TA2541 будет использовать файлы Visual Basic Script (VBS) для обеспечения постоянства с одной из своих любимых полезных нагрузок, AsyncRAT. Это достигается путем добавления файла VBS в каталог запуска, который указывает на сценарий PowerShell. Примечание. Используемые имена файлов VBS и PowerShell в основном имитируют функции Windows или системы. Примеры из недавних кампаний включают:
Пример сохранения:
Содержимое VBS-файла:
TA2541 также обеспечивает постоянство, создавая запланированные задачи и добавляя записи в реестр. Например, в ноябре 2021 года TA2541 распространял полезную нагрузку Imminent Monitor, используя оба этих метода. В недавних кампаниях vjw0rm и STRRAT также использовали создание задач и добавление записей в реестр. Например:
Запланированное задание:
Реестр:
Компания Proofpoint зафиксировала, что TA2541 с 2017 года использует более дюжины различных вредоносных программ. Злоумышленник использует обычное вредоносное ПО, доступное для покупки на криминальных форумах или доступное в репозиториях с открытым исходным кодом. В настоящее время TA2541 предпочитает AsyncRAT, но другие популярные RAT включают NetWire, WSH RAT и Parallax.
Рисунок 7: Вредоносное ПО, используемое TA2541, связанное с объемом сообщений.
Все вредоносные программы, используемые TA2541, могут использоваться для сбора информации и получения удаленного контроля над зараженной машиной. В настоящее время Proofpoint не знает, каковы конечные цели и задачи злоумышленника после первоначальной компрометации.
В то время как AsyncRAT в настоящее время является предпочтительным вредоносным ПО, TA2541 ежегодно меняет свое использование вредоносного ПО, начиная с 2017 года. Злоумышленник обычно использует только один или несколько RAT в наблюдаемых кампаниях, однако в 2020 году Proofpoint наблюдал, как TA2541 распространял более 10 различных типов. вредоносное ПО, использующее одну и ту же начальную цепочку заражения.
Рисунок 8: Распространение вредоносного ПО TA2541 во времени.
TA2541 использует виртуальные частные серверы как часть своей инфраструктуры отправки электронной почты и часто использует динамический DNS (DDNS) для инфраструктуры C2.
В инфраструктуре C2 и артефактах сообщений существует множество шаблонов. Например, исторические кампании включали термин «kimjoy» в доменное имя C2, а также в ответный адрес злоумышленника. Еще одним поразительным TTP является общий шаблон, наблюдаемый с доменами TA2541 C2 и URL-адресами промежуточной загрузки, содержащими ключевые слова «kimjoy», «h0pe» и «grace». TA2541 также регулярно использует одних и тех же регистраторов доменов, включая Netdorm и No-IP DDNS, и хостинг-провайдеров, включая xTom GmbH и Danilenko, Artyom.
Часто кампании содержали от нескольких сотен до нескольких тысяч сообщений электронной почты, адресованных десяткам различных организаций. Несмотря на то, что Proofpoint наблюдала, как TA2541 нацелен на тысячи организаций, многочисленные организации в авиационной, аэрокосмической, транспортной, производственной и оборонной отраслях регулярно фигурируют в качестве целей его кампаний. Похоже, что существует широкое распределение среди получателей, что указывает на то, что TA2541 не нацелен на людей с определенными ролями и функциями.
TA2541 остается постоянной активной угрозой киберпреступности, особенно для организаций в наиболее часто используемых секторах. Proofpoint с высокой степенью уверенности оценивает, что этот злоумышленник будет продолжать использовать те же TTP, которые наблюдались в прошлом, с минимальными изменениями в темах-приманках, доставке и установке. Вполне вероятно, что TA2541 продолжит использовать AsyncRAT и vjw0rm в будущих кампаниях и, вероятно, будет использовать другие стандартные вредоносные программы для достижения своих целей.
Индикаторы компрометации (IOC)
Домены С2
Хэши VBS SHA256
Хэши VBS SHA256, наблюдаемые в последних декабрьских и январских кампаниях.
Имя файла: Aircrafts PN#_ALT PN#_Desc_&_Qty Details.vbs
SHA256: 67250d5e5cb42df505b278e53ae346e7573ba60a06c3daac7ec05f853100e61c
Имя файла: детали чартера.pdf.vbs
SHA256: ebd7809cacae62bc94dfb8077868f53d53beb0614766213d48f4385ed09c73a6
Имя файла: детали чартера.pdf.vbs
SHA256: 4717ee69d28306254b1affa7efc0a50c481c3930025e75366ce93c99505ded96
Имя файла: 4Pax Trip Details.pdf.vbs
SHA256: d793f37eb89310ddfc6d0337598c316db0eccda4d30e34143c768235594a169c
Подписи инопланетян
2034978 — служба ET POLICY в стиле Pastebin (paste .ee) в TLS SNI
2034979 - ET HUNTING Powershell Запрос на вставку .ee Страница
2034980 — ET MALWARE Powershell с загруженным RUNPE в десятичной кодировке
2850933 - ETPRO HUNTING Double Extension VBS Скачать с Google Диска
2850934 - ETPRO HUNTING Double Extension PIF Скачать с Google Диска
2850936 - ETPRO HUNTING VBS Скачать с Google Диска
Источник
Основные результаты
- Исследователи Proofpoint в течение многих лет отслеживали постоянных участников киберпреступлений, нацеленных на авиацию, аэрокосмическую промышленность, транспорт, производство и оборонную промышленность.
- Злоумышленник постоянно использует трояны удаленного доступа (RAT), которые можно использовать для удаленного управления скомпрометированными машинами.
- Злоумышленник использует постоянные темы, связанные с авиацией, транспортом и путешествиями. Злоумышленник использует похожие темы и таргетинг с 2017 года.
- Proofpoint называет этого актора TA2541.
Обзор
TA2541 — настойчивый киберпреступник, который распространяет различные трояны удаленного доступа (RAT), нацеленные, в частности, на авиационную, аэрокосмическую, транспортную и оборонную отрасли. Proofpoint отслеживает этого субъекта угрозы с 2017 года и за это время использовала последовательные тактики, методы и процедуры (TTP). Субъекты в целевых секторах должны быть осведомлены о TTP субъекта и использовать предоставленную информацию для поиска и обнаружения.
TA2541 использует темы, связанные с авиацией, транспортом и путешествиями. Когда Proofpoint впервые начала отслеживать этого субъекта, группа отправляла загруженные макросами вложения Microsoft Word, которые загружали полезную нагрузку RAT. Группа изменилась, и теперь они чаще отправляют сообщения со ссылками на облачные сервисы, такие как Google Drive, на которых размещена полезная нагрузка. Proofpoint оценивает TA2541 как киберпреступника из-за использования специфического вредоносного ПО, широкого таргетинга с большим объемом сообщений и инфраструктуры управления и контроля.
Хотя общедоступные отчеты с подробным описанием аналогичных действий по угрозам существуют по крайней мере с 2019 года, Proofpoint впервые делится подробной информацией, связывающей общедоступные и частные данные в одном кластере действий по угрозам, который мы называем TA2541.
Детали кампании
В отличие от многих участников киберпреступлений, распространяющих обычное вредоносное ПО, TA2541 обычно не использует текущие события, актуальные темы или новости в своих приманках социальной инженерии. Почти во всех наблюдаемых кампаниях TA2541 использует темы-приманки, которые включают термины, связанные с транспортом, такие как полет, самолет, топливо, яхта, чартер и т. д.
Рисунок 1: Приманка по электронной почте с запросом информации о деталях самолета.
Рисунок 2: Приманка по электронной почте с запросом информации о амбулаторном полете.
TA2541 демонстрирует постоянную и постоянную активность угроз с января 2017 года. Как правило, его вредоносные кампании включают от сотен до тысяч сообщений, хотя редко можно увидеть, как TA2541 отправляет более 10 000 сообщений за один раз. Кампании затрагивают сотни организаций по всему миру с повторяющимися целями в Северной Америке, Европе и на Ближнем Востоке. Сообщения почти всегда на английском.
Весной 2020 года TA2541 ненадолго переключился на использование тем приманок, связанных с COVID, в соответствии с их общей темой деталей груза и рейса. Например, они распространяли приманки, связанные с грузовыми поставками средств индивидуальной защиты (СИЗ) или наборов для тестирования на COVID-19.
Рисунок 3: Тематическая приманка PPE, используемая TA2541.
Принятие темы COVID-19 было кратким, и злоумышленник быстро вернулся к обычным грузовым, авиационным, чартерным и т. д. тематическим приманкам.
Несколько исследователей опубликовали данные об аналогичных действиях с 2019 года, в том числе Сиско Талос , Морфизек , Майкрософт , Мандиант и независимый исследователи . Proofpoint может подтвердить, что действия в этих отчетах пересекаются с субъектом угрозы, отслеживаемым как TA2541.
Доставка и установка
В недавних кампаниях Proofpoint наблюдала, как эта группа использует URL-адреса Google Диска в электронных письмах, которые ведут к запутанному файлу Visual Basic Script (VBS). При выполнении PowerShell извлекает исполняемый файл из текстового файла, размещенного на различных платформах, таких как Pastetext, Sharetext и GitHub. Злоумышленник запускает PowerShell в различные процессы Windows и запрашивает у инструментария управления Windows (WMI) продукты безопасности, такие как антивирусное программное обеспечение и брандмауэр, и пытается отключить встроенные средства защиты. Злоумышленник соберет системную информацию перед загрузкой RAT на хост.
Рисунок 4: Пример цепочки атак.
Хотя TA2541 постоянно использует Google Диск, а иногда и OneDrive для размещения вредоносных файлов VBS, начиная с конца 2021 года, Proofpoint заметила, что эта группа начала использовать URL-адреса DiscordApp, ссылающиеся на сжатый файл, который ведет либо к AgentTesla, либо к Imminent Monitor. Discord — это все более популярная сеть доставки контента (CDN), используемая злоумышленниками.
Хотя TA2541 обычно использует URL-адреса как часть доставки, Proofpoint также заметила, что этот субъект использует вложения в электронных письмах. Например, субъект угрозы может отправить сжатые исполняемые файлы, такие как вложения RAR, со встроенным исполняемым файлом, содержащим URL-адрес, в CDN, на которых размещена полезная нагрузка вредоносного ПО.
Ниже приведен пример файла VBS, использованного в недавней кампании с использованием функции StrReverse и функции PowerShell RemoteSigned. Стоит отметить, что имена файлов VBS обычно соответствуют общей тематике электронной почты: бой, самолет, топливо, яхта, чартер и т. д.
Рисунок 5: Содержимое примера файла VBS.
Деобфусцированная команда:
Код:
https://вставить[.]ee/r/01f2w/0
На рисунке ниже показан пример недавней кампании, в которой код PowerShell размещен на URL-адресе paste.ee.
Рисунок 6: Пример вставки URL.
Упорство:
Как правило, TA2541 будет использовать файлы Visual Basic Script (VBS) для обеспечения постоянства с одной из своих любимых полезных нагрузок, AsyncRAT. Это достигается путем добавления файла VBS в каталог запуска, который указывает на сценарий PowerShell. Примечание. Используемые имена файлов VBS и PowerShell в основном имитируют функции Windows или системы. Примеры из недавних кампаний включают:
Пример сохранения:
Код:
C:\Users[User]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SystemFramework64Bits.vbs
Содержимое VBS-файла:
Код:
Установить Obj = CreateObject("WScript.Shell")
Obj.Run "PowerShell -ExecutionPolicy RemoteSigned -File" & "C:\Users\[User]\AppData\Local\Temp\RemoteFramework64.ps1", 0
Другие последние наблюдаемые имена файлов VBS
UserInterfaceLogin.vbs
ОбработчикUpdate64Bits.vbs
WindowsCrashReportFix.vbs
SystemHardDrive.vbs
TA2541 также обеспечивает постоянство, создавая запланированные задачи и добавляя записи в реестр. Например, в ноябре 2021 года TA2541 распространял полезную нагрузку Imminent Monitor, используя оба этих метода. В недавних кампаниях vjw0rm и STRRAT также использовали создание задач и добавление записей в реестр. Например:
Запланированное задание:
Код:
schtasks.exe /Create /TN "Updates\BQVIiVtepLtz" /XML C:\Users\[User]\AppData\Local\Temp\tmp7CF8.tmp
schtasks /create /sc minute /mo 1 /tn Skype /tr "C:\Users\[Use]\AppData\Roaming\xubntzl.txt"
Реестр:
Код:
Ключ: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost
Данные: C:\Users[User]\AppData\Roaming\server\server.exe
Ключ: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\xubntzl
Данные: C:\Users\User\AppData\Roaming\xubntzl.txt
Вредоносное ПО
Компания Proofpoint зафиксировала, что TA2541 с 2017 года использует более дюжины различных вредоносных программ. Злоумышленник использует обычное вредоносное ПО, доступное для покупки на криминальных форумах или доступное в репозиториях с открытым исходным кодом. В настоящее время TA2541 предпочитает AsyncRAT, но другие популярные RAT включают NetWire, WSH RAT и Parallax.
Рисунок 7: Вредоносное ПО, используемое TA2541, связанное с объемом сообщений.
Все вредоносные программы, используемые TA2541, могут использоваться для сбора информации и получения удаленного контроля над зараженной машиной. В настоящее время Proofpoint не знает, каковы конечные цели и задачи злоумышленника после первоначальной компрометации.
В то время как AsyncRAT в настоящее время является предпочтительным вредоносным ПО, TA2541 ежегодно меняет свое использование вредоносного ПО, начиная с 2017 года. Злоумышленник обычно использует только один или несколько RAT в наблюдаемых кампаниях, однако в 2020 году Proofpoint наблюдал, как TA2541 распространял более 10 различных типов. вредоносное ПО, использующее одну и ту же начальную цепочку заражения.
Рисунок 8: Распространение вредоносного ПО TA2541 во времени.
Инфраструктура
TA2541 использует виртуальные частные серверы как часть своей инфраструктуры отправки электронной почты и часто использует динамический DNS (DDNS) для инфраструктуры C2.
В инфраструктуре C2 и артефактах сообщений существует множество шаблонов. Например, исторические кампании включали термин «kimjoy» в доменное имя C2, а также в ответный адрес злоумышленника. Еще одним поразительным TTP является общий шаблон, наблюдаемый с доменами TA2541 C2 и URL-адресами промежуточной загрузки, содержащими ключевые слова «kimjoy», «h0pe» и «grace». TA2541 также регулярно использует одних и тех же регистраторов доменов, включая Netdorm и No-IP DDNS, и хостинг-провайдеров, включая xTom GmbH и Danilenko, Artyom.
виктимология
Часто кампании содержали от нескольких сотен до нескольких тысяч сообщений электронной почты, адресованных десяткам различных организаций. Несмотря на то, что Proofpoint наблюдала, как TA2541 нацелен на тысячи организаций, многочисленные организации в авиационной, аэрокосмической, транспортной, производственной и оборонной отраслях регулярно фигурируют в качестве целей его кампаний. Похоже, что существует широкое распределение среди получателей, что указывает на то, что TA2541 не нацелен на людей с определенными ролями и функциями.
Заключение
TA2541 остается постоянной активной угрозой киберпреступности, особенно для организаций в наиболее часто используемых секторах. Proofpoint с высокой степенью уверенности оценивает, что этот злоумышленник будет продолжать использовать те же TTP, которые наблюдались в прошлом, с минимальными изменениями в темах-приманках, доставке и установке. Вполне вероятно, что TA2541 продолжит использовать AsyncRAT и vjw0rm в будущих кампаниях и, вероятно, будет использовать другие стандартные вредоносные программы для достижения своих целей.
Индикаторы компрометации (IOC)
Домены С2
Индикатор | Описание | Дата наблюдения |
joelthomas[.]linkpc[.]net | Домен AsyncRAT C2 | На протяжении 2021 года |
rick63[.]publicvm[.]com | Домен AsyncRAT C2 | январь 2022 г. |
tq744[.]publicvm[.]com | Домен AsyncRAT C2 | январь 2022 г. |
bodmas01[.]zapto[.]org | Домен AsyncRAT C2 | январь 2022 г. |
bigdips0n[.]publicvm[.]com | Домен AsyncRAT C2 | декабрь 2021 г. |
6001dc[.]ddns[.]net | Домен AsyncRAT C2 | сентябрь 2021 г. |
кимджой[.]ddns[.]net | Домен Revenge RAT C2 | март 2021 г. |
h0pe[.]ddns[.]net | Домен AsyncRAT C2 | апрель/май 2021 г. |
e29rava[.]ddns[.]net | Домен AsyncRAT C2 | июнь 2021 г. |
акконсалт[.]ddns[.]net | Домен AsyncRAT C2 | июль 2021 г. |
Grace5321[.]publicvm[.]com | Домен StrRAT C2 | январь 2022 г. |
Grace5321[.]publicvm[.]com | Неизбежный монитор домена C2 | ноябрь 2021 г. |
Хэши VBS SHA256, наблюдаемые в последних декабрьских и январских кампаниях.
Имя файла: Aircrafts PN#_ALT PN#_Desc_&_Qty Details.vbs
SHA256: 67250d5e5cb42df505b278e53ae346e7573ba60a06c3daac7ec05f853100e61c
Имя файла: детали чартера.pdf.vbs
SHA256: ebd7809cacae62bc94dfb8077868f53d53beb0614766213d48f4385ed09c73a6
Имя файла: детали чартера.pdf.vbs
SHA256: 4717ee69d28306254b1affa7efc0a50c481c3930025e75366ce93c99505ded96
Имя файла: 4Pax Trip Details.pdf.vbs
SHA256: d793f37eb89310ddfc6d0337598c316db0eccda4d30e34143c768235594a169c
Подписи инопланетян
2034978 — служба ET POLICY в стиле Pastebin (paste .ee) в TLS SNI
2034979 - ET HUNTING Powershell Запрос на вставку .ee Страница
2034980 — ET MALWARE Powershell с загруженным RUNPE в десятичной кодировке
2850933 - ETPRO HUNTING Double Extension VBS Скачать с Google Диска
2850934 - ETPRO HUNTING Double Extension PIF Скачать с Google Диска
2850936 - ETPRO HUNTING VBS Скачать с Google Диска
Источник
Original message
February 15, 2022 Selena Larson and Joe Wise
TA2541 is a persistent cybercriminal actor that distributes various remote access trojans (RATs) targeting the aviation, aerospace, transportation, and defense industries, among others. Proofpoint has tracked this threat actor since 2017, and it has used consistent tactics, techniques, and procedures (TTPs) in that time. Entities in the targeted sectors should be aware of the actor's TTPs and use the information provided for hunting and detection.
TA2541 uses themes related to aviation, transportation, and travel. When Proofpoint first started tracking this actor, the group sent macro-laden Microsoft Word attachments that downloaded the RAT payload. The group pivoted, and now they more frequently send messages with links to cloud services such as Google Drive hosting the payload. Proofpoint assesses TA2541 is a cybercriminal threat actor due to its use of specific commodity malware, broad targeting with high volume messages, and command and control infrastructure.
While public reporting detailing similar threat activities exists since at least 2019, this is the first time Proofpoint is sharing comprehensive details linking public and private data under one threat activity cluster we call TA2541.
Unlike many cybercrime threat actors distributing commodity malware, TA2541 does not typically use current events, trending topics, or news items in its social engineering lures. In nearly all observed campaigns, TA2541 uses lure themes that include transportation related terms such as flight, aircraft, fuel, yacht, charter, etc.
Figure 1: Email lure requesting information on aircraft parts.
Figure 2: Email lure requesting ambulatory flight information.
TA2541 demonstrates persistent and ongoing threat activity since January 2017. Typically, its malware campaigns include hundreds to thousands of messages, although it is rare to see TA2541 send more than 10,000 messages at one time. Campaigns impact hundreds of organizations globally, with recurring targets in North America, Europe, and the Middle East. Messages are nearly always in English.
In the spring of 2020, TA2541 briefly pivoted to adopting COVID-related lure themes consistent with their overall theme of cargo and flight details. For example, they distributed lures associated with cargo shipments of personal protective equipment (PPE) or COVID-19 testing kits.
Figure 3: PPE themed lure used by TA2541.
The adoption of COVID-19 themes was brief, and the threat actor quickly returned to generic cargo, flight, charter, etc. themed lures.
Multiple researchers have published data on similar activities since 2019 including Cisco Talos, Morphisec, Microsoft, Mandiant, and independent researchers. Proofpoint can confirm the activities in these reports overlap with the threat actor tracked as TA2541.
In recent campaigns, Proofpoint observed this group using Google Drive URLs in emails that lead to an obfuscated Visual Basic Script (VBS) file. If executed, PowerShell pulls an executable from a text file hosted on various platforms such as Pastetext, Sharetext, and GitHub. The threat actor executes PowerShell into various Windows processes and queries Windows Management Instrumentation (WMI) for security products such as antivirus and firewall software, and attempts to disable built-in security protections. The threat actor will collect system information before downloading the RAT on the host.
Figure 4: Example attack chain.
While TA2541 consistently uses Google Drive, and occasionally OneDrive, to host the malicious VBS files, beginning in late 2021, Proofpoint observed this group begin using DiscordApp URLs linking to a compressed file which led to either AgentTesla or Imminent Monitor. Discord is an increasingly popular content delivery network (CDN) used by threat actors.
Although TA2541 typically uses URLs as part of the delivery, Proofpoint has also observed this actor leverage attachments in emails. For example, the threat actor may send compressed executables such as RAR attachments with an embedded executable containing URL to CDNs hosting the malware payload.
Listed below is an example of a VBS file used in a recent campaign leveraging the StrReverse function and PowerShell’s RemoteSigned functionality. It is worth noting the VBS files are usually named to stay consistent with the overall email themes: fight, aircraft, fuel, yacht, charter, etc.
Figure 5: Contents of a sample VBS file.
Deobfuscated command:
The figure below depicts an example from a recent campaign where the PowerShell code is hosted on the paste.ee URL.
Figure 6: Paste URL example.
Persistence:
Typically, TA2541 will use Visual Basic Script (VBS) files to establish persistence with one of their favorite payloads, AsyncRAT. This is accomplished by adding the VBS file in the startup directory which points to a PowerShell script. Note: the VBS and PowerShell file names used are mostly named to mimic Windows or system functionality. Examples from recent campaigns include:
Persistence Example:
Contents of VBS file:
TA2541 has also established persistence by creating scheduled tasks and adding entries in the registry. For instance, in November 2021 TA2541 distributed the payload Imminent Monitor using both of these methods. In recent campaigns, vjw0rm and STRRAT also leveraged task creation and adding entries to the registry. For example:
Scheduled Task:
Registry:
Proofpoint has observed TA2541 using over a dozen different malware payloads since 2017. The threat actor uses commodity malware available for purchase on criminal forums or available in open-source repositories. Currently, TA2541 prefers AsyncRAT, but other popular RATs include NetWire, WSH RAT and Parallax.
Figure 7: Malware used by TA2541 associated with message volume.
All the malware used by TA2541 can be used for information gathering purposes and to gain remote control of an infected machine. At this time, Proofpoint does not know what the threat actor’s ultimate goals and objectives are once it achieves initial compromise.
While AsyncRAT is the current malware of choice, TA2541 has varied its malware use each year since 2017. The threat actor will typically use just one or a handful of RATs in observed campaigns, however in 2020, Proofpoint observed TA2541 distributing over 10 different types of malware, all using the same initial infection chain.
igure 8: Distribution of TA2541 malware over time.
TA2541 uses Virtual Private Servers as part of their email sending infrastructure and frequently uses Dynamic DNS (DDNS) for C2 infrastructure.
There are multiple patterns across the C2 infrastructure and the message artifacts. For example, historic campaigns have included the term “kimjoy” in the C2 domain name as well as in the threat actor reply-to address. Another striking TTP is the common pattern observed with TA2541 C2 domains and payload staging URLs containing the keywords “kimjoy,” “h0pe,” and “grace”. TA2541 also regularly uses the same domain registrars including Netdorm and No-IP DDNS, and hosting providers including xTom GmbH and Danilenko, Artyom.
Often, campaigns contained several hundred to several thousand email messages to dozens of different organizations. Although Proofpoint has observed TA2541 targeting thousands of organizations, multiple entities across aviation, aerospace, transportation, manufacturing, and defense industries appear regularly as targets of its campaigns. There appears to be a wide distribution across recipients, indicating TA2541 does not target people with specific roles and functions.
TA2541 remains a consistent, active cybercrime threat, especially to entities in its most frequently targeted sectors. Proofpoint assesses with high confidence this threat actor will continue using the same TTPs observed in historic activity with minimal change to its lure themes, delivery, and installation. It is likely TA2541 will continue using AsyncRAT and vjw0rm in future campaigns and will likely use other commodity malware to support its objectives.
Indicators of Compromise (IOCs)
C2 Domains
VBS SHA256 Hashes
VBS SHA256 hashes observed in recent December and January campaigns.
File Name: Aircrafts PN#_ALT PN#_Desc_&_Qty Details.vbs
SHA256: 67250d5e5cb42df505b278e53ae346e7573ba60a06c3daac7ec05f853100e61c
File Name: charters details.pdf.vbs
SHA256: ebd7809cacae62bc94dfb8077868f53d53beb0614766213d48f4385ed09c73a6
File Name: charters details.pdf.vbs
SHA256: 4717ee69d28306254b1affa7efc0a50c481c3930025e75366ce93c99505ded96
File Name: 4Pax Trip Details.pdf.vbs
SHA256: d793f37eb89310ddfc6d0337598c316db0eccda4d30e34143c768235594a169c
ET Signatures
2034978 - ET POLICY Pastebin-style Service (paste .ee) in TLS SNI
2034979 - ET HUNTING Powershell Request for paste .ee Page
2034980 - ET MALWARE Powershell with Decimal Encoded RUNPE Downloaded
2850933 - ETPRO HUNTING Double Extension VBS Download from Google Drive
2850934 - ETPRO HUNTING Double Extension PIF Download from Google Drive
2850936 - ETPRO HUNTING VBS Download from Google Drive
Source
Key Findings
- Proofpoint researchers have tracked a persistent cybercrime threat actor targeting aviation, aerospace, transportation, manufacturing, and defense industries for years.
- The threat actor consistently uses remote access trojans (RATs) that can be used to remotely control compromised machines.
- The threat actor uses consistent themes related to aviation, transportation, and travel. The threat actor has used similar themes and targeting since 2017.
- Proofpoint calls this actor TA2541.
Overview
TA2541 is a persistent cybercriminal actor that distributes various remote access trojans (RATs) targeting the aviation, aerospace, transportation, and defense industries, among others. Proofpoint has tracked this threat actor since 2017, and it has used consistent tactics, techniques, and procedures (TTPs) in that time. Entities in the targeted sectors should be aware of the actor's TTPs and use the information provided for hunting and detection.
TA2541 uses themes related to aviation, transportation, and travel. When Proofpoint first started tracking this actor, the group sent macro-laden Microsoft Word attachments that downloaded the RAT payload. The group pivoted, and now they more frequently send messages with links to cloud services such as Google Drive hosting the payload. Proofpoint assesses TA2541 is a cybercriminal threat actor due to its use of specific commodity malware, broad targeting with high volume messages, and command and control infrastructure.
While public reporting detailing similar threat activities exists since at least 2019, this is the first time Proofpoint is sharing comprehensive details linking public and private data under one threat activity cluster we call TA2541.
Campaign Details
Unlike many cybercrime threat actors distributing commodity malware, TA2541 does not typically use current events, trending topics, or news items in its social engineering lures. In nearly all observed campaigns, TA2541 uses lure themes that include transportation related terms such as flight, aircraft, fuel, yacht, charter, etc.
Figure 1: Email lure requesting information on aircraft parts.
Figure 2: Email lure requesting ambulatory flight information.
TA2541 demonstrates persistent and ongoing threat activity since January 2017. Typically, its malware campaigns include hundreds to thousands of messages, although it is rare to see TA2541 send more than 10,000 messages at one time. Campaigns impact hundreds of organizations globally, with recurring targets in North America, Europe, and the Middle East. Messages are nearly always in English.
In the spring of 2020, TA2541 briefly pivoted to adopting COVID-related lure themes consistent with their overall theme of cargo and flight details. For example, they distributed lures associated with cargo shipments of personal protective equipment (PPE) or COVID-19 testing kits.
Figure 3: PPE themed lure used by TA2541.
The adoption of COVID-19 themes was brief, and the threat actor quickly returned to generic cargo, flight, charter, etc. themed lures.
Multiple researchers have published data on similar activities since 2019 including Cisco Talos, Morphisec, Microsoft, Mandiant, and independent researchers. Proofpoint can confirm the activities in these reports overlap with the threat actor tracked as TA2541.
Delivery and Installation
In recent campaigns, Proofpoint observed this group using Google Drive URLs in emails that lead to an obfuscated Visual Basic Script (VBS) file. If executed, PowerShell pulls an executable from a text file hosted on various platforms such as Pastetext, Sharetext, and GitHub. The threat actor executes PowerShell into various Windows processes and queries Windows Management Instrumentation (WMI) for security products such as antivirus and firewall software, and attempts to disable built-in security protections. The threat actor will collect system information before downloading the RAT on the host.
Figure 4: Example attack chain.
While TA2541 consistently uses Google Drive, and occasionally OneDrive, to host the malicious VBS files, beginning in late 2021, Proofpoint observed this group begin using DiscordApp URLs linking to a compressed file which led to either AgentTesla or Imminent Monitor. Discord is an increasingly popular content delivery network (CDN) used by threat actors.
Although TA2541 typically uses URLs as part of the delivery, Proofpoint has also observed this actor leverage attachments in emails. For example, the threat actor may send compressed executables such as RAR attachments with an embedded executable containing URL to CDNs hosting the malware payload.
Listed below is an example of a VBS file used in a recent campaign leveraging the StrReverse function and PowerShell’s RemoteSigned functionality. It is worth noting the VBS files are usually named to stay consistent with the overall email themes: fight, aircraft, fuel, yacht, charter, etc.
Figure 5: Contents of a sample VBS file.
Deobfuscated command:
Код:
https://paste[.]ee/r/01f2w/0
The figure below depicts an example from a recent campaign where the PowerShell code is hosted on the paste.ee URL.
Figure 6: Paste URL example.
Persistence:
Typically, TA2541 will use Visual Basic Script (VBS) files to establish persistence with one of their favorite payloads, AsyncRAT. This is accomplished by adding the VBS file in the startup directory which points to a PowerShell script. Note: the VBS and PowerShell file names used are mostly named to mimic Windows or system functionality. Examples from recent campaigns include:
Persistence Example:
Код:
C:\Users[User]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SystemFramework64Bits.vbs
Contents of VBS file:
Код:
Set Obj = CreateObject("WScript.Shell")
Obj.Run "PowerShell -ExecutionPolicy RemoteSigned -File " & "C:\Users\[User]\AppData\Local\Temp\RemoteFramework64.ps1", 0
Other Recent VBS File Names Observed
UserInterfaceLogin.vbs
HandlerUpdate64Bits.vbs
WindowsCrashReportFix.vbs
SystemHardDrive.vbs
TA2541 has also established persistence by creating scheduled tasks and adding entries in the registry. For instance, in November 2021 TA2541 distributed the payload Imminent Monitor using both of these methods. In recent campaigns, vjw0rm and STRRAT also leveraged task creation and adding entries to the registry. For example:
Scheduled Task:
Код:
schtasks.exe /Create /TN "Updates\BQVIiVtepLtz" /XML C:\Users\[User]\AppData\Local\Temp\tmp7CF8.tmp
schtasks /create /sc minute /mo 1 /tn Skype /tr "C:\Users\[Use]\AppData\Roaming\xubntzl.txt"
Registry:
Код:
Key: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost
Data: C:\Users[User]\AppData\Roaming\server\server.exe
Key: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\xubntzl
Data: C:\Users\User\AppData\Roaming\xubntzl.txt
Malware
Proofpoint has observed TA2541 using over a dozen different malware payloads since 2017. The threat actor uses commodity malware available for purchase on criminal forums or available in open-source repositories. Currently, TA2541 prefers AsyncRAT, but other popular RATs include NetWire, WSH RAT and Parallax.
Figure 7: Malware used by TA2541 associated with message volume.
All the malware used by TA2541 can be used for information gathering purposes and to gain remote control of an infected machine. At this time, Proofpoint does not know what the threat actor’s ultimate goals and objectives are once it achieves initial compromise.
While AsyncRAT is the current malware of choice, TA2541 has varied its malware use each year since 2017. The threat actor will typically use just one or a handful of RATs in observed campaigns, however in 2020, Proofpoint observed TA2541 distributing over 10 different types of malware, all using the same initial infection chain.
igure 8: Distribution of TA2541 malware over time.
Infrastructure
TA2541 uses Virtual Private Servers as part of their email sending infrastructure and frequently uses Dynamic DNS (DDNS) for C2 infrastructure.
There are multiple patterns across the C2 infrastructure and the message artifacts. For example, historic campaigns have included the term “kimjoy” in the C2 domain name as well as in the threat actor reply-to address. Another striking TTP is the common pattern observed with TA2541 C2 domains and payload staging URLs containing the keywords “kimjoy,” “h0pe,” and “grace”. TA2541 also regularly uses the same domain registrars including Netdorm and No-IP DDNS, and hosting providers including xTom GmbH and Danilenko, Artyom.
Victimology
Often, campaigns contained several hundred to several thousand email messages to dozens of different organizations. Although Proofpoint has observed TA2541 targeting thousands of organizations, multiple entities across aviation, aerospace, transportation, manufacturing, and defense industries appear regularly as targets of its campaigns. There appears to be a wide distribution across recipients, indicating TA2541 does not target people with specific roles and functions.
Conclusion
TA2541 remains a consistent, active cybercrime threat, especially to entities in its most frequently targeted sectors. Proofpoint assesses with high confidence this threat actor will continue using the same TTPs observed in historic activity with minimal change to its lure themes, delivery, and installation. It is likely TA2541 will continue using AsyncRAT and vjw0rm in future campaigns and will likely use other commodity malware to support its objectives.
Indicators of Compromise (IOCs)
C2 Domains
Indicator | Description | Date Observed |
joelthomas[.]linkpc[.]net | AsyncRAT C2 Domain | Throughout 2021 |
rick63[.]publicvm[.]com | AsyncRAT C2 Domain | January 2022 |
tq744[.]publicvm[.]com | AsyncRAT C2 Domain | January 2022 |
bodmas01[.]zapto[.]org | AsyncRAT C2 Domain | January 2022 |
bigdips0n[.]publicvm[.]com | AsyncRAT C2 Domain | December 2021 |
6001dc[.]ddns[.]net | AsyncRAT C2 Domain | September 2021 |
kimjoy[.]ddns[.]net | Revenge RAT C2 Domain | March 2021 |
h0pe[.]ddns[.]net | AsyncRAT C2 Domain | April/May 2021 |
e29rava[.]ddns[.]net | AsyncRAT C2 Domain | June 2021 |
akconsult[.]ddns[.]net | AsyncRAT C2 Domain | July 2021 |
grace5321[.]publicvm[.]com | StrRAT C2 Domain | January 2022 |
grace5321[.]publicvm[.]com | Imminent Monitor C2 Domain | November 2021 |
VBS SHA256 hashes observed in recent December and January campaigns.
File Name: Aircrafts PN#_ALT PN#_Desc_&_Qty Details.vbs
SHA256: 67250d5e5cb42df505b278e53ae346e7573ba60a06c3daac7ec05f853100e61c
File Name: charters details.pdf.vbs
SHA256: ebd7809cacae62bc94dfb8077868f53d53beb0614766213d48f4385ed09c73a6
File Name: charters details.pdf.vbs
SHA256: 4717ee69d28306254b1affa7efc0a50c481c3930025e75366ce93c99505ded96
File Name: 4Pax Trip Details.pdf.vbs
SHA256: d793f37eb89310ddfc6d0337598c316db0eccda4d30e34143c768235594a169c
ET Signatures
2034978 - ET POLICY Pastebin-style Service (paste .ee) in TLS SNI
2034979 - ET HUNTING Powershell Request for paste .ee Page
2034980 - ET MALWARE Powershell with Decimal Encoded RUNPE Downloaded
2850933 - ETPRO HUNTING Double Extension VBS Download from Google Drive
2850934 - ETPRO HUNTING Double Extension PIF Download from Google Drive
2850936 - ETPRO HUNTING VBS Download from Google Drive
Source