多年来，一名技术并不高的黑客一直利用现成可用恶意软件，攻击航空航天和其它敏感行业中企业。Proofpoint 公司将该攻击者命名为 “TA2541”。

　　TA2541至少活跃于2017年，攻击的实体位于航空、航天、运输、制造和国防行业。TA2541 被指在尼日利亚发动攻击，之前分析其它攻击活动时就曾被记录过。

　　攻击并不复杂

　　Proofpoint 公司发布报告称，TA2541 的攻击方法一致，依靠恶意微软 Word 文档传播远程访问木马。

　　TA2541 攻击方法涉及向“全球数百家组织机构”发送“数百到数千份”邮件（多数为英文邮件），“攻击目标位于北美、欧洲和中东”。不过，最近该黑客从恶意附件转向托管在云服务如 Google Drive 等的payload 连接。

　　该黑客并不使用自定义恶意软件而是可在网络犯罪论坛上购买的商用恶意工具。研究人员发现，该攻击者使用最多的恶意软件是 AsyncRAT、NetWire、WSH RAT 和 Parallax。研究人员指出，虽然攻击者使用的所有恶意软件都是为了收集信息，不过其最终目的尚无法知晓。

　　典型的攻击链是发送通常与交通（如航班、燃油、游艇、货物等）相关的邮件并传播恶意文档。接着，攻击者在多个 Windows 进程中执行 PowerShell并通过查询 WMI而查找可用的安全产品。然后，尝试禁用内置防护措施并开始收集系统信息，之后将RAT payload 下载到受陷主机上。

　　鉴于 TA2541 的攻击目标情况，其攻击活动被发现，其它安全公司过去曾就此进行分析但并未连点成线。思科Talos 团队曾在去年发布一份报告称，该黑客通过 AsyncRAT 攻击航空行业，认为该黑客至少已活跃5年。从分析攻击中所用基础设施的证据来看，思科Talos对黑客进行了画像，认为其地理位置是在尼日利亚。

　　在单个攻击活动中，该攻击者可向数十个组织机构发送数千份邮件，而非为特定角色定制化恶意软件。这表明 TA2541并不关注攻击的隐秘性，进一步说明该黑客是非技术黑客。

　　虽然数千家组织机构遭此类攻击，但实际上在全球范围内，航空、航天、交通、制造和国防行业似乎是一个永恒的攻击面。即使 TA2541 的 TTPs 表明它并非复杂攻击者，但它仍然设法在超过5年的时间里发动恶意活动且并未引起太多注意。