TA397 gebruikt continu geplande taken voor communicatie met hun staging-domeinen om kwaadaardige backdoors in te zetten in de beoogde organisaties. Hierbij is het doel toegang te krijgen tot bevoorrechte informatie en intellectueel eigendom.
Uit het onderzoek blijkt dat:
- De aanvalsketen alternatieve datastromen gebruikte in een RAR-archief voor het afleveren van een snelkoppelingsbestand (LNK). Dit bestand maakte vervolgens een geplande taak aan op de beoogde machine voor het binnenhalen van payloads.
- TA397 handmatig de malwarefamilies leverde WmRAT en MiyaRAT afleverde. Beide families zijn ontworpen voor het verzamelen en exfiltreren van informtie. Het afleveren van de malware vond plaats in het laatste stadium van de aanvalsketen.
- Onderzoekers van Proofpoint inschatten dat TA397-campagnes zich richten op het verzamelen van inlichtingen ter ondersteuning van de belangen van een Zuid-Aziatische overheid. Bij alle waargenomen activiteiten zien de onderzoekers dat deze plaatsvinden tijdens werktijden in de tijdzone van UTC+5:30.
RAR-archieven gebruiken is een veelvoorkomende tactiek bij het afleveren van de payload TA397. Hierbij is het kenmerkend dat de opdrachtregelstructuur zelden verandert. Een ander kenmerk van TA397 is dat deze Advanced Persistent Threat (APT) zich richt op organisaties in de defensiesector binnen de EMEA- en APAC-regio's. Het richt zich op het bespioneren van overheids-, energie-, telecommunicatie-, defensie- en technische organisaties in de EMEA- en APAC-regio's.
Lees voor meer informatie het volledige onderzoek hier.
