0
0
Uma campanha de ataque cibernético, potencialmente voltada para a espionagem cibernética, está destacando a natureza cada vez mais sofisticada das ameaças cibernéticas direcionadas a empresas de defesa nos EUA e em outros lugares.
A campanha secreta, que pesquisadores da Securonix detectaram e estão rastreando como STEEP#MAVERICK, atingiu vários fornecedores de armas na Europa nos últimos meses, incluindo potencialmente um fornecedor do programa de caças F-35 Lightning II dos EUA.
O que torna a campanha notável de acordo com o fornecedor de segurança é a atenção geral que o invasor deu à segurança das operações (OpSec) e garantir que seu malware seja difícil de detectar, difícil de remover e difícil de analisar.
O escalonador de malware baseado em PowerShell usado nos ataques ” apresentou uma série de táticas interessantes , metodologia de persistência, contra-forense e camadas e mais camadas de ofuscação para ocultar seu código”, disse a Securonix em um relatório esta semana.
Recursos de malware incomuns
A campanha STEEP#MAVERICK parece ter sido lançada no final do verão com ataques a dois empreiteiros de defesa de alto nível na Europa. Como muitas campanhas, a cadeia de ataque começou com um e-mail de spear phishing que continha um arquivo compactado (.zip) com um arquivo de atalho (.lnk) para um documento PDF que supostamente descrevia os benefícios da empresa. A Securonix descreveu o e-mail de phishing como sendo semelhante a um que havia encontrado em uma campanha no início deste ano envolvendo o grupo de ameaças APT37 da Coréia do Norte (também conhecido como Konni) .
Quando o arquivo .lnk é executado, ele aciona o que o Securonix descreveu como uma “cadeia bastante grande e robusta de stagers”, cada um escrito em PowerShell e apresentando até oito camadas de ofuscação. O malware também apresenta amplos recursos anti-forense e de contra-depuração, que incluem o monitoramento de uma longa lista de processos que podem ser usados para procurar comportamentos maliciosos. O malware foi projetado para desabilitar o log e ignorar o Windows Defender. Ele usa várias técnicas para persistir em um sistema, inclusive incorporando-se ao registro do sistema, incorporando-se como uma tarefa agendada e criando um atalho de inicialização no sistema.
Um porta-voz da equipe de pesquisa de ameaças da Securonix diz que o número e a variedade de verificações anti-análise e antimonitoramento que o malware possui são incomuns. O mesmo acontece com o grande número de camadas de ofuscação para cargas úteis e as tentativas do malware de substituir ou gerar novas cargas de estágio de comando e controle (C2) personalizadas em resposta a tentativas de análise: “Algumas técnicas de ofuscação, como usar o PowerShell get- alias para executar [o cmdlet de expressão de invocação] raramente são vistos.”
As atividades maliciosas foram executadas de maneira compatível com OpSec com diferentes tipos de verificações anti-análise e tentativas de evasão ao longo do ataque, em um ritmo operacional relativamente alto com cargas úteis personalizadas injetadas.
“Com base nos detalhes do ataque, uma lição para outras organizações é prestar atenção extra ao monitoramento de suas ferramentas de segurança”, diz o porta-voz. “As organizações devem garantir que as ferramentas de segurança funcionem conforme o esperado e evitar depender de uma única ferramenta ou tecnologia de segurança para detectar ameaças.”
Uma ameaça cibernética crescente
A campanha STEEP#MAVERICK é apenas a mais recente de um número crescente de empreiteiros e fornecedores de defesa nos últimos anos. Muitas dessas campanhas envolveram atores apoiados pelo Estado operando na China, Rússia, Coreia do Norte e outros países.
Em janeiro, por exemplo, a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta de alerta de atores patrocinados pelo Estado russo visando os chamados contratantes de defesa autorizados (CDCs) em ataques projetados para roubar informações e tecnologia de defesa confidenciais dos EUA . O alerta da CISA descreveu os ataques como direcionados a uma ampla faixa de CDCs, incluindo aqueles envolvidos no desenvolvimento de sistemas de combate, tecnologias de inteligência e vigilância, desenvolvimento de armas e mísseis e design de veículos e aeronaves de combate.
Em fevereiro, pesquisadores da Palo Alto Networks relataram que pelo menos quatro empreiteiros de defesa dos EUA foram alvo de uma campanha para distribuir um backdoor sem arquivo e sem soquete chamado SockDetour . Os ataques fizeram parte de uma campanha mais ampla que o fornecedor de segurança investigou junto com a Agência de Segurança Nacional em 2021, envolvendo um grupo persistente avançado chinês que visava contratados e organizações de defesa em vários outros setores.
Empreiteiros de defesa: um segmento vulnerável
Além das preocupações com o crescente volume de ataques cibernéticos, está a relativa vulnerabilidade de muitos contratados de defesa, apesar de terem segredos que devem ser bem guardados.
Uma pesquisa recente que a Black Kite conduziu sobre as práticas de segurança dos 100 principais fornecedores de defesa dos EUA mostrou que quase um terço (32%) é vulnerável a ataques de ransomware . Isso ocorre devido a fatores como credenciais vazadas ou comprometidas e práticas fracas em áreas como gerenciamento de credenciais, segurança de aplicativos e Security Sockets Layer/Transport Layer Security.
Setenta e dois por cento dos entrevistados no relatório Black Kite sofreram pelo menos um incidente envolvendo uma credencial vazada.
Pode haver uma luz no fim do túnel: o Departamento de Defesa dos EUA, em conjunto com as partes interessadas do setor, desenvolveu um conjunto de práticas recomendadas de segurança cibernética para empreiteiros militares usarem para proteger dados confidenciais. De acordo com o programa de Certificação de Modelo de Maturidade de Segurança Cibernética do DoD, os contratados de defesa são obrigados a implementar essas práticas – e obter a certificação como tendo – para poder vender para o governo. As más notícias? O lançamento do programa foi adiado .
FONTE: DARK READING