多年來，一名技術并不高的黑客一直利用現成可用惡意軟件，攻擊航空航天和其它敏感行業中企業。Proofpoint 公司將該攻擊者命名為 “TA2541”。

　　TA2541至少活躍于2017年，攻擊的實體位于航空、航天、運輸、制造和國防行業。TA2541 被指在尼日利亞發動攻擊，之前分析其它攻擊活動時就曾被記錄過。

　　攻擊并不復雜

　　Proofpoint 公司發布報告稱，TA2541 的攻擊方法一致，依靠惡意微軟 Word 文檔傳播遠程訪問木馬。

　　TA2541 攻擊方法涉及向“全球數百家組織機構”發送“數百到數千份”郵件（多數為英文郵件），“攻擊目標位于北美、歐洲和中東”。不過，最近該黑客從惡意附件轉向托管在云服務如 Google Drive 等的payload 連接。

　　該黑客并不使用自定義惡意軟件而是可在網絡犯罪論壇上購買的商用惡意工具。研究人員發現，該攻擊者使用最多的惡意軟件是 AsyncRAT、NetWire、WSH RAT 和 Parallax。研究人員指出，雖然攻擊者使用的所有惡意軟件都是為了收集信息，不過其最終目的尚無法知曉。

　　典型的攻擊鏈是發送通常與交通（如航班、燃油、游艇、貨物等）相關的郵件并傳播惡意文檔。接著，攻擊者在多個 Windows 進程中執行 PowerShell并通過查詢 WMI而查找可用的安全產品。然后，嘗試禁用內置防護措施并開始收集系統信息，之后將RAT payload 下載到受陷主機上。

　　鑒于 TA2541 的攻擊目標情況，其攻擊活動被發現，其它安全公司過去曾就此進行分析但并未連點成線。思科Talos 團隊曾在去年發布一份報告稱，該黑客通過 AsyncRAT 攻擊航空行業，認為該黑客至少已活躍5年。從分析攻擊中所用基礎設施的證據來看，思科Talos對黑客進行了畫像，認為其地理位置是在尼日利亞。

　　在單個攻擊活動中，該攻擊者可向數十個組織機構發送數千份郵件，而非為特定角色定制化惡意軟件。這表明 TA2541并不關注攻擊的隱秘性，進一步說明該黑客是非技術黑客。

　　雖然數千家組織機構遭此類攻擊，但實際上在全球范圍內，航空、航天、交通、制造和國防行業似乎是一個永恒的攻擊面。即使 TA2541 的 TTPs 表明它并非復雜攻擊者，但它仍然設法在超過5年的時間里發動惡意活動且并未引起太多注意。