Cụ thể, nhóm tin tặc có tên TA2541 được phát hiện bởi công ty bảo mật doanh nghiệp Proofpoint (Mỹ), đã sử dụng phần mềm độc hại AsyncRAT và NetWire để nhắm tới một số lượng lớn các mục tiêu thông qua việc phát tán vô số . Tuy nhiên, mục tiêu cuối cùng của các cuộc tấn công hiện vẫn chưa được xác định.

Nhóm tin tặc sử dụng chiến thuật tấn công phi kỹ thuật bằng việc gửi tin nhắn lừa đảo với các thông điệp mồi nhử liên quan đến hàng không, hậu cần, giao thông vận tải và du lịch. TA2541 đã lợi dụng dịch bệnh COVID-19 để gửi đi nhiều tin nhắn lừa đảo từ đầu năm 2020 với các email có nội dung liên quan đến các lô hàng thiết bị bảo vệ cá nhân hoặc bộ dụng cụ thử nghiệm.

Sherrod DeGrippo, Phó chủ tịch nghiên cứu và phát hiện mối đe dọa tại Proofpoint, cho biết: "Mặc dù TA2541 nhất quán trong một số hành vi, chẳng hạn như sử dụng email mạo danh công ty hàng không để phát tán trojan truy cập từ xa, nhưng nhóm tin tặc đã thay đổi phương thức gửi, tệp đính kèm, URL, cơ sở hạ tầng và loại phần mềm độc hại".

Phương thức hoạt động của nhóm tin tặc TA2541

Các chiến dịch trước đây sử dụng các tệp đính kèm chứa macro để triển khai RAT, tuy nhiên các biến thể gần đây lại bao gồm các liên kết đến các dịch vụ đám mây để lưu trữ phần mềm độc hại. Các cuộc tấn công lừa đảo được cho là nhắm vào hàng trăm tổ chức trên toàn cầu, với các mục tiêu được phát hiện ở Bắc Mỹ, Châu Âu và Trung Đông.

Ngoài việc sử dụng lặp lại các chủ đề để gửi , các chuỗi lây nhiễm gần đây sử dụng các URL ứng dụng Discord trỏ đến các tệp nén chứa phần mềm độc hại AgentTesla hoặc Imminent Monitor. Tin tặc đã sử dụng các mạng phân phối nội dung để phát tán các trình thu thập thông tin nhằm điều khiển từ xa máy móc bị xâm nhập.

Thống kê số lượng các tin nhắn lừa đảo được sử dụng bởi các mã độc khác nhau

Các kỹ thuật nâng cao được TA2541 sử dụng bao gồm việc sử dụng máy chủ riêng ảo (VPS) cho cơ sở hạ tầng gửi email và DNS động cho các hoạt động ra lệnh và kiểm soát (C2).

Với việc Microsoft công bố kế hoạch tắt macro theo mặc định cho các tệp tải xuống từ Internet bắt đầu từ tháng 4/2022, động thái này dự kiến sẽ khiến tin tặc đẩy mạnh và chuyển hướng sang các phương pháp khác nếu macro trở thành một phương thức phân phối kém hiệu quả.

DeGrippo giải thích: “Trong khi các tài liệu Office chứa macro độc hại là một trong những kỹ thuật được sử dụng thường xuyên để tải xuống và thực thi các mã độc, thì việc lạm dụng các dịch vụ lưu trữ hợp pháp cũng đã phổ biến hơn. Ngoài ra, chúng tôi thường xuyên quan sát thấy tin tặc sử dụng mã độc được chứa trong tệp lưu trữ và tệp hình ảnh, điều này cũng có thể ảnh hưởng đến khả năng phát hiện và phân tích. Tin tặc sẽ liên tục thay đổi và tìm kiếm các phương thức mới để triển khai phần mềm độc hại".