Proofpoint segue il cybercriminale TA2541 che minaccia il settore dell’aviazione

Il team di ricercatori di Proofpoint ha rilevato TA2541. Si tratta di un cybercriminale che da anni prende di mira i settori dell’aviazione, dei trasporti, della produzione, della difesa e dell’industria aerospaziale. TA2541 utilizza trojan di accesso remoto (RAT) per arrivare a controllare da remoto macchine compromesse. Secondo le rilevazioni di Proofpoint, quest’attore di minaccia è attivo dal 2017.

Proofpoint segue da tempo TA2541

TA2541 è un cybercriminale persistente che distribuisce trojan ad accesso remoto in vari settori. Proofpoint segue quest’attore da tempo ed ha evidenziato come TA2541 segua tattiche, tecniche e procedure TTP coerenti nel tempo. Secondo quanto rilevato da Proofpoint, il cybercriminale inviata allegati di Microsoft Word carichi di macro che scaricavano il payload del RAT.

Oggi, sono più frequenti i messaggi con collegamenti a servizi cloud come Google Drive dove viene ospitato il payload. In passato, nel corso della primavera del 2020, TA2541 è riuscito anche a sfruttare tematiche legate al Covid-19 per portare avanti i suoi attacchi. Le tematiche trattate, anche in quel caso, risultavano coerenti con l’operato precedente concentrandosi su voli cargo e informazioni di volo.

Le campagne d’attacco vengono portate avanti di solito in lingua inglese ed hanno colpito obiettivi ricorrenti in Nord America, Europa e Medio Oriente.

Le attività del cybercriminale rivelate anche da altri team

Da notare che anche altri team di ricerca (tra cui Cisco Talos, Morphisec, Microsoft, Mandiant e ricercatori indipendenti) hanno pubblicato dati su attività simili a partire dal 2019. Come confermato da Proofpoint, tali attività si sovrappongono a quelle dell’attore monitorato TA2541.

Rimani aggiornato seguendoci su Google News!

Seguici!