Una campaña de ciberataques, potencialmente orientada al ciberespionaje, está poniendo de relieve la naturaleza cada vez más sofisticada de las ciberamenazas dirigidas a contratistas de defensa en Estados Unidos y otros lugares.
La campaña encubierta, que los investigadores de Securonix detectaron y siguen como STEEP#MAVERICK, ha afectado a múltiples contratistas de armas en Europa en los últimos meses, incluido un posible proveedor del programa de aviones de combate F-35 Lightning II de EE. UU.
Lo que hace que la campaña sea notable según el proveedor de seguridad es la atención general que el atacante ha prestado a la seguridad de las operaciones (OpSec) y a garantizar que su malware sea difícil de detectar, eliminar y analizar.
El programa de malware basado en PowerShell utilizado en los ataques tiene "presentó una variedad de tácticas interesantes, metodología de persistencia, contraforense y capas y capas de ofuscación para ocultar su código”, dijo Securonix en un informe esta semana.
Capacidades de malware poco comunes
La campaña STEEP#MAVERICK parece haberse lanzado a finales del verano con ataques a dos contratistas de defensa de alto perfil en Europa. Como muchas campañas, la cadena de ataque comenzó con un correo electrónico de phishing que contenía un archivo comprimido (.zip) con un acceso directo (.lnk) a un documento PDF que supuestamente describía los beneficios de la empresa. Securonix describió el correo electrónico de phishing como similar a uno que había encontrado en una campaña a principios de este año que involucraba El grupo amenazante APT37 (también conocido como Konni) de Corea del Norte.
Cuando se ejecuta el archivo .lnk, se activa lo que Securonix describió como una “cadena de etapas bastante grande y robusta”, cada una escrita en PowerShell y con hasta ocho capas de ofuscación. El malware también presenta amplias capacidades antiforenses y de contradepuración que incluyen el monitoreo de una larga lista de procesos que podrían usarse para buscar comportamientos maliciosos. El malware está diseñado para desactivar el registro y evitar Windows Defender. Utiliza varias técnicas para persistir en un sistema, incluida la incrustación en el registro del sistema, la incrustación como una tarea programada y la creación de un acceso directo de inicio en el sistema.
Un portavoz del equipo de investigación de amenazas de Securonix dice que la cantidad y variedad de controles antianálisis y antimonitoreo que tiene el malware es inusual. También lo es la gran cantidad de capas de ofuscación para las cargas útiles y los intentos del malware de sustituir o generar nuevas cargas útiles de etapa de comando y control (C2) personalizadas en respuesta a los intentos de análisis: “Algunas técnicas de ofuscación, como el uso de PowerShell, Los alias para realizar [el cmdlet invoke-expression] rara vez se ven”.
Las actividades maliciosas se realizaron teniendo en cuenta OpSec con diferentes tipos de comprobaciones antianálisis e intentos de evasión durante todo el ataque, a un ritmo operativo relativamente alto con cargas útiles personalizadas inyectadas.
"Basándonos en los detalles del ataque, una conclusión para otras organizaciones es prestar especial atención a la supervisión de sus herramientas de seguridad", afirma el portavoz. "Las organizaciones deben garantizar que las herramientas de seguridad funcionen como se espera y evitar depender de una única herramienta o tecnología de seguridad para detectar amenazas".
Una creciente amenaza cibernética
La campaña STEEP#MAVERICK es sólo la última de una serie cada vez mayor que se ha dirigido a contratistas y proveedores de defensa en los últimos años. Muchas de estas campañas han involucrado a actores respaldados por el Estado que operan desde China, Rusia, Corea del Norte y otros países.
En enero, por ejemplo, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) emitió una alerta advirtiendo que actores patrocinados por el Estado ruso tenían como objetivo a los llamados contratistas de defensa autorizados (CDC) en ataques diseñados para robar información y tecnología confidencial de defensa de EE. UU.. La alerta de CISA describió los ataques como dirigidos a una amplia gama de CDC, incluidos aquellos involucrados en el desarrollo de sistemas de combate, tecnologías de inteligencia y vigilancia, desarrollo de armas y misiles, y diseño de vehículos y aviones de combate.
En febrero, investigadores de Palo Alto Networks informaron que al menos cuatro contratistas de defensa estadounidenses estaban siendo atacados en una campaña para distribuir una puerta trasera sin archivos ni sockets llamada SockDetour. Los ataques fueron parte de una campaña más amplia que el proveedor de seguridad había investigado junto con la Agencia de Seguridad Nacional en 2021 que involucraba a un grupo persistente avanzado chino que contratistas de defensa objetivo y organizaciones en muchos otros sectores.
Contratistas de defensa: un segmento vulnerable
A las preocupaciones sobre el creciente volumen de ciberataques se suma la relativa vulnerabilidad de muchos contratistas de defensa, a pesar de tener secretos que deberían guardarse cuidadosamente.
Una investigación reciente realizada por Black Kite sobre las prácticas de seguridad de los 100 principales contratistas de defensa de EE. UU. mostró que casi un tercio (32%) son vulnerable a ataques de ransomware. Esto se debe a factores como credenciales filtradas o comprometidas y prácticas débiles en áreas como administración de credenciales, seguridad de aplicaciones y seguridad de la capa de sockets de seguridad/capa de transporte.
El setenta y dos por ciento de los encuestados en el informe Black Kite han experimentado al menos un incidente relacionado con una credencial filtrada.
Podría haber luz al final del túnel: el Departamento de Defensa de EE. UU., junto con partes interesadas de la industria, ha desarrollado un conjunto de mejores prácticas de ciberseguridad para que los contratistas militares las utilicen para proteger datos confidenciales. Según el programa de Certificación del Modelo de Madurez de Ciberseguridad del Departamento de Defensa, los contratistas de defensa deben implementar estas prácticas (y obtener la certificación de que las tienen) para poder vender al gobierno. ¿Las malas noticias? El lanzamiento del programa. ha sido retrasado.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
