TA2541 è un’organizzazione cybercriminale che attacca con numerosi trojan di accesso remoto (RAT) vari settori, tra cui alcuni molto sensibili: aviazione, industria aerospaziale, trasporti e difesa. Già dal 2017 Proofpoint segue questo attore di minacce, che ha sempre utilizzato tattiche, tecniche e procedure (TTP) coerenti nel tempo fin da quando, cinque anni fa, inviava allegati di Microsoft Word modificati per inserire macro che scaricavano il payload del tool di accesso remoto (RAT); oggi, questo cybercriminale invia più di frequente messaggi con collegamenti a servizi cloud, come Google Drive, che ospitano il payload.

Proofpoint considera TA2541 un cybercriminale a seguito dell’uso di malware specifico, dell’ampio target colpito da elevati volumi di messaggi e dell’infrastruttura di comando e di controllo. La segnalazione pubblica relativa a simili attività pericolose risale almeno al 2019, ma è la prima volta che Proofpoint condivide i dettagli completi che collegano dati pubblici e privati sotto un cluster di attività criminale definita TA2541.

aviazione

A differenza di molti cybercriminali che distribuiscono malware commodity, TA2541 non usa generalmente eventi attuali, argomenti o notizie di tendenza come esca per le attività di ingegneria sociale. In quasi tutte le campagne osservate, TA2541 sfrutta invece temi che includono termini relativi al trasporto come volo, aereo, carburante, yacht, charter, come possiamo vedere nell’immagine qui sopra.

Le campagne malware di TA2541, che comprendono centinaia a migliaia di messaggi quasi sempre in lingua inglese (anche se è raro vedere invii superiori ai 10.000 messaggi alla volta), hanno un impatto su centinaia di organizzazioni a livello globale, con obiettivi ricorrenti in Nord America, Europa e Medio Oriente. Nella primavera del 2020, TA2541 ha brevemente sfruttato argomenti legati a COVID-19, ma coerenti alle tematiche generali di voli cargo e informazioni di volo e ha distribuito, ad esempio, esche associate a spedizioni cargo di dispositivi di protezione individuale o kit di test COVID-19.

Numerosi ricercatori hanno pubblicato dati su attività simili dal 2019, tra cui Cisco Talos, Morphisec, Microsoft, Mandiant e ricercatori indipendenti. Proofpoint ha confermato che le attività in questi report si sovrappongono a quelle dell’attore monitorato come TA2541.