Eine Cyberangriffskampagne, die möglicherweise auf Cyberspionage abzielt, verdeutlicht die immer ausgefeiltere Natur von Cyberbedrohungen, die auf Verteidigungsunternehmen in den USA und anderswo abzielen.
Die verdeckte Kampagne, die Forscher von Securonix entdeckten und als STEEP#MAVERICK verfolgen, hat in den letzten Monaten mehrere Waffenlieferanten in Europa getroffen, darunter möglicherweise einen Lieferanten des US-Kampfflugzeugprogramms F-35 Lightning II.
Was die Kampagne nach Angaben des Sicherheitsanbieters bemerkenswert macht, ist die allgemeine Aufmerksamkeit, die der Angreifer der Betriebssicherheit (OpSec) gewidmet hat und der Sicherstellung, dass seine Malware schwer zu erkennen, schwer zu entfernen und schwierig zu analysieren ist.
Der bei den Angriffen verwendete PowerShell-basierte Malware-Staginger hat „bot eine Reihe interessanter Taktiken, Persistenzmethodik, Gegenforensik und schichtweise Verschleierung, um seinen Code zu verbergen“, sagte Securonix diese Woche in einem Bericht.
Ungewöhnliche Malware-Fähigkeiten
Die STEEP#MAVERICK-Kampagne scheint im Spätsommer mit Angriffen auf zwei hochkarätige Verteidigungsunternehmen in Europa gestartet zu sein. Wie bei vielen Kampagnen begann die Angriffskette mit einer Spear-Phishing-E-Mail, die eine komprimierte Datei (.zip) mit einer Verknüpfungsdatei (.lnk) zu einem PDF-Dokument enthielt, in dem angeblich die Vorteile des Unternehmens beschrieben wurden. Securonix beschrieb die Phishing-E-Mail als ähnlich einer E-Mail, auf die das Unternehmen Anfang des Jahres bei einer Kampagne gestoßen war Nordkoreas Bedrohungsgruppe APT37 (auch bekannt als Konni)..
Wenn die .lnk-Datei ausgeführt wird, löst sie das aus, was Securonix als „ziemlich große und robuste Kette von Stagern“ beschreibt, die jeweils in PowerShell geschrieben sind und bis zu acht Verschleierungsebenen umfassen. Die Malware verfügt außerdem über umfangreiche Anti-Forensik- und Counter-Debugging-Funktionen, zu denen die Überwachung einer langen Liste von Prozessen gehört, die zur Suche nach bösartigem Verhalten eingesetzt werden könnten. Die Malware soll die Protokollierung deaktivieren und Windows Defender umgehen. Es verwendet verschiedene Techniken, um auf einem System zu verbleiben, unter anderem durch die Einbettung in die Systemregistrierung, durch die Einbettung als geplante Aufgabe und durch die Erstellung einer Startverknüpfung auf dem System.
Ein Sprecher des Threat Research Teams von Securonix sagt, die Anzahl und Vielfalt der Anti-Analyse- und Anti-Überwachungsprüfungen der Malware sei ungewöhnlich. Dies gilt auch für die große Anzahl von Verschleierungsebenen für Nutzlasten und die Versuche der Malware, als Reaktion auf Analyseversuche neue benutzerdefinierte Command-and-Control (C2)-Staging-Nutzlasten zu ersetzen oder zu generieren: „Einige Verschleierungstechniken, wie z. B. die Verwendung von PowerShell get- Alias, um [das Cmdlet invoke-expression] auszuführen, werden sehr selten gesehen.“
Die böswilligen Aktivitäten wurden auf OpSec-bewusste Weise mit verschiedenen Arten von Anti-Analyse-Prüfungen und Umgehungsversuchen während des gesamten Angriffs durchgeführt, in einem relativ hohen Betriebstempo mit injizierten benutzerdefinierten Nutzlasten.
„Anhand der Einzelheiten des Angriffs können andere Unternehmen daraus lernen, der Überwachung ihrer Sicherheitstools besondere Aufmerksamkeit zu schenken“, sagt der Sprecher. „Organisationen sollten sicherstellen, dass Sicherheitstools wie erwartet funktionieren, und sich nicht auf ein einziges Sicherheitstool oder eine einzelne Technologie verlassen, um Bedrohungen zu erkennen.“
Eine wachsende Cyber-Bedrohung
Die STEEP#MAVERICK-Kampagne ist nur die jüngste einer wachsenden Zahl, die in den letzten Jahren auf Verteidigungsunternehmen und -lieferanten abzielte. An vielen dieser Kampagnen waren staatlich unterstützte Akteure beteiligt, die von China, Russland, Nordkorea und anderen Ländern aus operierten.
Im Januar beispielsweise gab die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) eine Warnung heraus, wonach staatlich geförderte russische Akteure bei geplanten Angriffen sogenannte Cleared Defense Contractors (CDCs) ins Visier nehmen würden um sensible US-Verteidigungsinformationen und -technologie zu stehlen. In der CISA-Warnung wurde beschrieben, dass die Angriffe auf eine breite Palette von CDCs abzielten, darunter solche, die an der Entwicklung von Kampfsystemen, Geheimdienst- und Überwachungstechnologien, der Entwicklung von Waffen und Raketen sowie der Konstruktion von Kampffahrzeugen und Flugzeugen beteiligt sind.
Im Februar berichteten Forscher von Palo Alto Networks über mindestens vier US-amerikanische Verteidigungsunternehmen, die im Rahmen einer Verteilungskampagne ins Visier genommen wurden eine datei- und socketlose Hintertür namens SockDetour. Die Angriffe waren Teil einer umfassenderen Kampagne, die der Sicherheitsanbieter zusammen mit der National Security Agency im Jahr 2021 untersucht hatte und an der eine chinesische Advanced Persistent Group beteiligt war gezielte Verteidigungsunternehmen und Organisationen in zahlreichen anderen Sektoren.
Verteidigungsunternehmen: Ein gefährdetes Segment
Zu den Sorgen über das zunehmende Volumen an Cyberangriffen kommt noch die relative Verwundbarkeit vieler Rüstungsunternehmen hinzu, obwohl sie über Geheimnisse verfügen, die streng gehütet werden sollten.
Eine kürzlich von Black Kite durchgeführte Untersuchung der Sicherheitspraktiken der 100 größten US-Verteidigungsunternehmen ergab, dass dies bei fast einem Drittel (32 %) der Fall ist anfällig für Ransomware-Angriffe. Dies ist auf Faktoren wie durchgesickerte oder kompromittierte Anmeldeinformationen sowie auf schwache Praktiken in Bereichen wie Anmeldeinformationsverwaltung, Anwendungssicherheit und Security Sockets Layer/Transport Layer Security zurückzuführen.
XNUMX Prozent der Befragten im Black Kite-Bericht haben mindestens einen Vorfall mit einem geleakten Ausweis erlebt.
Es könnte Licht am Ende des Tunnels sein: Das US-Verteidigungsministerium hat gemeinsam mit Interessenvertretern der Industrie eine Reihe von Best Practices für die Cybersicherheit entwickelt, die militärische Auftragnehmer zum Schutz sensibler Daten nutzen können. Im Rahmen des Cybersecurity Maturity Model Certification-Programms des US-Verteidigungsministeriums müssen Verteidigungsunternehmen diese Praktiken umsetzen – und sich dafür zertifizieren lassen –, um an die Regierung verkaufen zu können. Die schlechten Nachrichten? Der Rollout des Programms hat sich verzögert.
