黑客菜鸟(黑客初学者)

虽然航空空行业的网络安全和卫生一直为人诟病，但根据网络安全公司Proofpoint的报告，多年来，航空空行业面临的一个主要威胁活动(代码TA2541)来自于低级黑客，这些入门级攻击者在针对航空空行业和其他敏感行业的恶意活动中使用现成的恶意软件。

报告显示，攻击者自2017年以来一直很活跃，主要针对航空空、航天、交通、制造和国防行业的实体。

这个“菜鸟”黑客组织被网络安全公司Proofpoint追踪为TA2541。据信袭击者在尼日利亚做生意，其活动在之前的个人活动分析中已有记录。

在今天的报告中，Proofpoint指出TA2541的攻击方式是一贯的，依靠恶意的Microsoft Word文档部署远程访问工具(RAT)。

该组织典型的恶意软件活动包括向“全球数百个组织发送“数十万封”电子邮件(主要是英文)，主要目标在北美、欧洲和中东地区”。

然而，Proofpoint的研究人员表示，最近该组织从恶意附件转向了Google Drive等云服务中托管的有效载荷的链接。

TA2541不使用定制恶意软件，而是使用可以在在线犯罪论坛上购买的商品恶意工具。根据研究人员的观察，AsyncRAT、NetWire、WSH RAT和Parallax似乎是该组织最常被恶意消息推送的最爱:

虽然AsyncRAT是目前首选的恶意软件，但自2017年以来，TA2541每年都会改变其恶意软件的使用方式，通常在观察到的活动中只使用一个或几个RAT。但在2020年，Proofpoint观察到TA2541分发了10多种不同类型的恶意软件(如下)，都使用了相同的初始感染链。

Proofpoint强调，TA2541活动中使用的所有恶意软件都可以用来收集信息，但其最终目的仍不得而知。

典型的TA2541攻击链从发送通常与运输行业(如航班、飞机、燃料、游艇、包机、货物)相关的电子邮件开始，并丢弃恶意文档。

在下一步中，攻击者在各种Windows进程中执行PowerShell，并通过查询Windows Management Instrumentation(WMI)来寻找可用的安全产品。

然后，它会尝试禁用内置防御，并在将RAT有效负载下载到受感染的主机之前开始收集系统信息，如下图所示:

由于攻击的目标通常是关键基础设施，一些其他安全公司已经跟进，甚至发布了关于TA2541活动的分析报告。例如，Cisco Talos去年发布了一份报告，其中涵盖了使用AsyncRAT针对航空空行业的TA2541活动。研究人员得出结论，攻击者已经活跃了至少五年。

根据对攻击中使用的基础设施证据的分析，Cisco Talos建立了威胁参与者的档案，将他们的地理位置与尼日利亚联系起来。

“在研究参与者的活动时，我们使用被动DNS遥测技术编制了一份akconsult.linkpc.net域名使用的IP列表，其中显示约73%的IP位于尼日利亚，这进一步加强了相关参与者位于尼日利亚的理论。”——思科塔洛斯

在单个活动中，TA2541会向几十个组织发送数千封邮件，但没有一封属于为特定角色量身定制的鱼叉式钓鱼邮件。这说明TA2541并不在乎其行动的隐蔽性，进一步支持了攻击者是低级黑客的假设。

虽然成千上万的组织都有可能成为这次“大运”总攻的目标，但全球航空空、航天、交通、制造、国防等行业的公司似乎总是TA2541的主要目标。

值得反思的是，虽然TA2541的策略、技术和程序(TTP)属于入门级菜鸟的水平，但攻击者仍然在全球航空空行业等关键基础设施行业成功部署恶意活动超过5年，并未引起太多关注。

参考链接:

https://www . proof point . com/us/blog/threat-insight/charting-ta 2541s-flight