В течение многих лет злоумышленник с низкой квалификацией использовал готовое вредоносное ПО во вредоносных кампаниях, нацеленных на авиационный сектор, а также другие отрасли.
Злоумышленник действует, как минимум, с 2017 года, атакуя предприятия авиационной, аэрокосмической, транспортной, производственной и оборонной отраслей.
Отслеживаемый компанией как TA2541, злоумышленник, как полагают, действует из Нигерии, и его деятельность была задокументирована ранее при анализе отдельных кампаний.
В сегодняшнем отчете отмечается, что TA2541 атаковал, полагаясь на вредоносные документы Microsoft Word для доставки инструмента удаленного доступа.
Типичная кампания вредоносного ПО из этой группы включает в себя отправку от сотен до тысяч электронных писем сотням организаций по всему миру в Северной Америке, Европе и на Ближнем Востоке.
TA2541 использует не заказное вредоносное ПО, а стандартные вредоносные инструменты, доступные для покупки на форумах киберпреступников. Все вредоносные программы, используемые в кампаниях TA2541, могут использоваться для сбора информации, но конечная цель злоумышленника на данный момент остается неизвестной.
Типичная цепочка атаки TA2541 начинается с отправки электронного письма, которое обычно связано с транспортом (например, рейсом, самолетом, топливом, яхтой, чартером, грузом), и доставляет вредоносный документ.
Затем он пытается отключить встроенную защиту и начинает собирать системную информацию перед загрузкой полезной нагрузки RAT на скомпрометированный хост.