多年來(lái)，一名技術(shù)并不高的黑客一直利用現(xiàn)成可用惡意軟件，攻擊航空航天和其它敏感行業(yè)中企業(yè)。Proofpoint 公司將該攻擊者命名為 “TA2541”。

　　TA2541至少活躍于2017年，攻擊的實(shí)體位于航空、航天、運(yùn)輸、制造和國(guó)防行業(yè)。TA2541 被指在尼日利亞發(fā)動(dòng)攻擊，之前分析其它攻擊活動(dòng)時(shí)就曾被記錄過(guò)。

　　攻擊并不復(fù)雜

　　Proofpoint 公司發(fā)布報(bào)告稱，TA2541 的攻擊方法一致，依靠惡意微軟 Word 文檔傳播遠(yuǎn)程訪問(wèn)木馬。

　　TA2541 攻擊方法涉及向“全球數(shù)百家組織機(jī)構(gòu)”發(fā)送“數(shù)百到數(shù)千份”郵件（多數(shù)為英文郵件），“攻擊目標(biāo)位于北美、歐洲和中東”。不過(guò)，最近該黑客從惡意附件轉(zhuǎn)向托管在云服務(wù)如 Google Drive 等的payload 連接。

　　該黑客并不使用自定義惡意軟件而是可在網(wǎng)絡(luò)犯罪論壇上購(gòu)買的商用惡意工具。研究人員發(fā)現(xiàn)，該攻擊者使用最多的惡意軟件是 AsyncRAT、NetWire、WSH RAT 和 Parallax。研究人員指出，雖然攻擊者使用的所有惡意軟件都是為了收集信息，不過(guò)其最終目的尚無(wú)法知曉。

　　典型的攻擊鏈?zhǔn)前l(fā)送通常與交通（如航班、燃油、游艇、貨物等）相關(guān)的郵件并傳播惡意文檔。接著，攻擊者在多個(gè) Windows 進(jìn)程中執(zhí)行 PowerShell并通過(guò)查詢 WMI而查找可用的安全產(chǎn)品。然后，嘗試禁用內(nèi)置防護(hù)措施并開始收集系統(tǒng)信息，之后將RAT payload 下載到受陷主機(jī)上。

　　鑒于 TA2541 的攻擊目標(biāo)情況，其攻擊活動(dòng)被發(fā)現(xiàn)，其它安全公司過(guò)去曾就此進(jìn)行分析但并未連點(diǎn)成線。思科Talos 團(tuán)隊(duì)曾在去年發(fā)布一份報(bào)告稱，該黑客通過(guò) AsyncRAT 攻擊航空行業(yè)，認(rèn)為該黑客至少已活躍5年。從分析攻擊中所用基礎(chǔ)設(shè)施的證據(jù)來(lái)看，思科Talos對(duì)黑客進(jìn)行了畫像，認(rèn)為其地理位置是在尼日利亞。

　　在單個(gè)攻擊活動(dòng)中，該攻擊者可向數(shù)十個(gè)組織機(jī)構(gòu)發(fā)送數(shù)千份郵件，而非為特定角色定制化惡意軟件。這表明 TA2541并不關(guān)注攻擊的隱秘性，進(jìn)一步說(shuō)明該黑客是非技術(shù)黑客。

　　雖然數(shù)千家組織機(jī)構(gòu)遭此類攻擊，但實(shí)際上在全球范圍內(nèi)，航空、航天、交通、制造和國(guó)防行業(yè)似乎是一個(gè)永恒的攻擊面。即使 TA2541 的 TTPs 表明它并非復(fù)雜攻擊者，但它仍然設(shè)法在超過(guò)5年的時(shí)間里發(fā)動(dòng)惡意活動(dòng)且并未引起太多注意。