یک کمپین حمله سایبری، که به طور بالقوه بر روی جاسوسی سایبری متمرکز است، ماهیت پیچیده تر تهدیدات سایبری را نشان می دهد که پیمانکاران دفاعی در ایالات متحده و جاهای دیگر را هدف قرار می دهد.
این کمپین مخفی، که محققان در Securonix آن را به عنوان STEEP#MAVERICK شناسایی و دنبال میکنند، در ماههای اخیر چندین پیمانکار تسلیحاتی در اروپا از جمله تامینکننده برنامه هواپیمای جنگنده F-35 Lightning II آمریکا را هدف قرار داده است.
آنچه که کمپین را با توجه به فروشنده امنیتی قابل توجه می کند، توجه کلی مهاجم به امنیت عملیات (OpSec) و اطمینان از اینکه بدافزار آنها به سختی قابل شناسایی است، حذف آن دشوار است و تجزیه و تحلیل آن دشوار است.
مرحلهدهنده بدافزار مبتنی بر PowerShell که در حملات استفاده میشود، «مجموعه ای از تاکتیک های جالب را به نمایش گذاشتSecuronix در گزارشی در این هفته گفت، روششناسی تداوم، ضد پزشکی قانونی و لایههای روی لایههای مبهم برای پنهان کردن کد آن.
قابلیتهای بدافزار غیر معمول
به نظر می رسد که کمپین STEEP#MAVERICK در اواخر تابستان با حمله به دو پیمانکار دفاعی برجسته در اروپا آغاز شده است. مانند بسیاری از کمپین ها، زنجیره حمله با یک ایمیل فیشینگ نیزه ای آغاز شد که حاوی یک فایل فشرده (.zip) با یک فایل میانبر (.lnk) به یک سند PDF بود که ظاهراً مزایای شرکت را توصیف می کرد. Securonix ایمیل فیشینگ را شبیه به ایمیلی توصیف کرد که در کمپین اوایل سال جاری با آن مواجه شده بود. گروه تهدید APT37 کره شمالی (معروف به Konni)..
هنگامی که فایل .lnk اجرا می شود، آنچه را که Securonix به عنوان یک زنجیره نسبتاً بزرگ و قوی از استیدرها توصیف می کند، راه اندازی می کند که هر کدام در PowerShell نوشته شده و دارای هشت لایه مبهم است. این بدافزار همچنین دارای قابلیتهای ضد عیبیابی و رفع اشکال گسترده است که شامل نظارت بر فهرست طولانی از فرآیندهایی است که میتوانند برای جستجوی رفتارهای مخرب مورد استفاده قرار گیرند. این بدافزار برای غیرفعال کردن ورود به سیستم و دور زدن Windows Defender طراحی شده است. از چندین تکنیک برای تداوم در یک سیستم استفاده می کند، از جمله با جاسازی خود در رجیستری سیستم، با جاسازی خود به عنوان یک کار برنامه ریزی شده و با ایجاد یک میانبر راه اندازی روی سیستم.
یکی از سخنگویان تیم تحقیقاتی تهدیدات Securonix میگوید که تعداد و تنوع بررسیهای ضد تحلیل و ضد نظارتی که این بدافزار انجام میدهد غیرعادی است. همچنین، تعداد زیادی لایههای مبهم برای بارها و تلاشهای بدافزار برای جایگزینی یا تولید بارهای مرحلهای سفارشی سفارشی و کنترلی (C2) در پاسخ به تلاشهای تحلیلی نیز وجود دارد: «برخی از تکنیکهای مبهمسازی، مانند استفاده از PowerShell get- نام مستعار برای انجام [cmdlet invoke-expression] بسیار به ندرت دیده می شود."
فعالیتهای مخرب به شیوهای آگاه از OpSec با انواع مختلف بررسیهای ضد تحلیل و تلاشهای فرار در طول حمله، با سرعت عملیاتی نسبتاً بالا با بارهای سفارشی تزریق شده انجام شد.
سخنگوی میگوید: «بر اساس جزئیات حمله، یکی از نکات مهم برای سازمانهای دیگر توجه بیشتر به نظارت بر ابزارهای امنیتی شما است. سازمانها باید اطمینان حاصل کنند که ابزارهای امنیتی همانطور که انتظار میرود کار میکنند و از تکیه بر یک ابزار امنیتی یا فناوری واحد برای شناسایی تهدیدها اجتناب کنند.»
یک تهدید سایبری رو به رشد
کمپین STEEP#MAVERICK تنها آخرین مورد از تعداد فزایندهای است که در سالهای اخیر پیمانکاران و تامینکنندگان دفاعی را هدف قرار داده است. بسیاری از این کمپین ها شامل بازیگران تحت حمایت دولت بوده است که خارج از چین، روسیه، کره شمالی و سایر کشورها فعالیت می کنند.
به عنوان مثال، در ژانویه، آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) هشداری هشدار داد که بازیگران تحت حمایت دولت روسیه در حملات طراحی شده پیمانکاران دفاعی پاکسازی شده (CDCs) را هدف قرار می دهند. برای سرقت اطلاعات و فناوری حساس دفاعی ایالات متحده. هشدار CISA این حملات را هدف قرار دادن بخش وسیعی از CDCها، از جمله مواردی که در توسعه سیستمهای رزمی، فناوریهای اطلاعاتی و نظارتی، توسعه تسلیحات و موشکها، و طراحی وسایل نقلیه و هواپیماهای جنگی دخیل هستند، توصیف کرد.
در ماه فوریه، محققان در Palo Alto Networks گزارش دادند که حداقل چهار پیمانکار دفاعی ایالات متحده در کمپینی برای توزیع هدف قرار گرفتند. یک درب پشتی بدون فایل و بدون سوکت به نام SockDetour. این حملات بخشی از یک کمپین گستردهتر بود که فروشنده امنیتی همراه با آژانس امنیت ملی در سال 2021 با مشارکت یک گروه مداوم و پیشرفته چینی بررسی کرده بود. پیمانکاران دفاعی هدفمند و سازمان ها در چندین بخش دیگر.
پیمانکاران دفاعی: یک بخش آسیب پذیر
به نگرانیها در مورد افزایش حجم حملات سایبری آسیبپذیری نسبی بسیاری از پیمانکاران دفاعی، علیرغم داشتن رازهایی است که باید از نزدیک محافظت شود.
تحقیقات اخیری که بلک کایت در مورد اقدامات امنیتی 100 پیمانکار برتر دفاعی ایالات متحده انجام داد، نشان داد که نزدیک به یک سوم (32%) در برابر حملات باج افزار آسیب پذیر است. این به دلیل عواملی مانند اطلاعات کاربری لو رفته یا به خطر افتاده، و عملکردهای ضعیف در زمینههایی مانند مدیریت اعتبارنامه، امنیت برنامهها و امنیت لایه/لایه انتقال سوکتهای امنیتی است.
هفتاد و دو درصد از پاسخ دهندگان در گزارش بادبادک سیاه حداقل یک حادثه را تجربه کرده اند که شامل یک اعتبارنامه لو رفته است.
ممکن است نوری در انتهای تونل وجود داشته باشد: وزارت دفاع ایالات متحده، همراه با ذینفعان صنعت، مجموعهای از بهترین شیوههای امنیت سایبری را برای پیمانکاران نظامی ایجاد کرده است تا از آنها برای محافظت از دادههای حساس استفاده کنند. بر اساس برنامه صدور گواهینامه مدل بلوغ امنیت سایبری وزارت دفاع، پیمانکاران دفاعی ملزم به اجرای این شیوهها - و داشتن گواهینامه برای فروش به دولت هستند. خبر بد؟ انتشار برنامه به تأخیر افتاده است.