专家警告称，黑客组织的目标是航空和国防部门

至少自2017年以来，航空、航天、运输、制造和国防行业的实体一直是一个持续性威胁组织的目标，这是一系列矛式网络钓鱼活动的一部分，旨在在受损系统上投放各种远程访问特洛伊木马（RAT）。

AsyncRAT和NetWire等商品恶意软件的使用，已经导致企业安全公司Proofpoint找到了一个代号为TA2541的“网络犯罪威胁参与者”，它采用“大容量信息的广泛目标”入侵的最终目的尚不清楚。

该组织使用的社会工程诱饵不依赖主题，而是利用与航空、物流、运输和旅行相关的诱饵信息。尽管如此，TA2541在2020年春季确实短暂转向了以新冠肺炎为主题的诱饵，分发了有关个人防护装备（PPE）或测试套件货运的电子邮件。

Proofpoint威胁研究和检测副总裁谢罗德·德格里波（Sherrod DeGrippo）告诉《黑客新闻》：“虽然TA2541在某些行为上是一致的，比如使用伪装成航空公司的电子邮件来分发远程访问特洛伊木马，但其他策略，如交付方式、附件、URL、基础设施和恶意软件类型都发生了变化。”。

这些活动在历史上一直使用装载了宏的Microsoft Word附件来删除RAT有效载荷，尽管最近的变种包括指向承载恶意软件的云服务的链接。据说，网络钓鱼攻击袭击了全球数百家组织，在北美、欧洲和中东都有反复出现的目标。

除了重复使用相同的主题，select感染链还涉及使用不协调的应用程序URL，这些URL指向包含AgentSela或即将出现的Monitor恶意软件的压缩文件，表明恶意使用内容交付网络分发信息收集植入物，以远程控制受损机器。

DeGrippo说：“缓解托管在合法服务上的威胁仍然是一个难以防御的载体，因为它可能涉及实施一个强大的检测堆栈或基于策略的服务拦截，这可能与业务有关。”。

TA2541采用的其他技术还包括将虚拟专用服务器（VP）用于其电子邮件发送基础设施，以及用于指挥和控制（C2）活动的动态DNS。

随着微软宣布计划从2022年4月开始，在默认情况下关闭互联网下载文件的宏，这一举措预计将导致威胁参与者加快步伐，并在宏成为低效的交付方法时转向其他方法。

DeGrippo解释说：“虽然承载宏的Office文档是导致下载和执行恶意有效负载的最常用技术之一，但滥用合法托管服务的情况也已经很普遍。”。

“此外，我们定期观察参与者‘集装箱化’有效载荷，使用存档和图像文件（例如.ZIP、.ISO等），这也会影响某些环境中的检测和分析能力。一如既往，威胁参与者将转向使用有效的工具。”