کمپین پیچیده حملات سایبری مخفی، پیمانکاران نظامی را هدف قرار می دهد

یک کمپین حمله سایبری، که به طور بالقوه بر روی جاسوسی سایبری متمرکز است، ماهیت پیچیده تر تهدیدات سایبری را نشان می دهد که پیمانکاران دفاعی در ایالات متحده و جاهای دیگر را هدف قرار می دهد.

این کمپین مخفی، که محققان در Securonix آن را به عنوان STEEP#MAVERICK شناسایی و دنبال می‌کنند، در ماه‌های اخیر چندین پیمانکار تسلیحاتی در اروپا از جمله تامین‌کننده برنامه هواپیمای جنگنده F-35 Lightning II آمریکا را هدف قرار داده است.

آنچه که کمپین را با توجه به فروشنده امنیتی قابل توجه می کند، توجه کلی مهاجم به امنیت عملیات (OpSec) و اطمینان از اینکه بدافزار آنها به سختی قابل شناسایی است، حذف آن دشوار است و تجزیه و تحلیل آن دشوار است. 

مرحله‌دهنده بدافزار مبتنی بر PowerShell که در حملات استفاده می‌شود، «مجموعه ای از تاکتیک های جالب را به نمایش گذاشتSecuronix در گزارشی در این هفته گفت، روش‌شناسی تداوم، ضد پزشکی قانونی و لایه‌های روی لایه‌های مبهم برای پنهان کردن کد آن.

قابلیت‌های بدافزار غیر معمول

به نظر می رسد که کمپین STEEP#MAVERICK در اواخر تابستان با حمله به دو پیمانکار دفاعی برجسته در اروپا آغاز شده است. مانند بسیاری از کمپین ها، زنجیره حمله با یک ایمیل فیشینگ نیزه ای آغاز شد که حاوی یک فایل فشرده (.zip) با یک فایل میانبر (.lnk) به یک سند PDF بود که ظاهراً مزایای شرکت را توصیف می کرد. Securonix ایمیل فیشینگ را شبیه به ایمیلی توصیف کرد که در کمپین اوایل سال جاری با آن مواجه شده بود. گروه تهدید APT37 کره شمالی (معروف به Konni)..

هنگامی که فایل .lnk اجرا می شود، آنچه را که Securonix به عنوان یک زنجیره نسبتاً بزرگ و قوی از استیدرها توصیف می کند، راه اندازی می کند که هر کدام در PowerShell نوشته شده و دارای هشت لایه مبهم است. این بدافزار همچنین دارای قابلیت‌های ضد عیب‌یابی و رفع اشکال گسترده است که شامل نظارت بر فهرست طولانی از فرآیندهایی است که می‌توانند برای جستجوی رفتارهای مخرب مورد استفاده قرار گیرند. این بدافزار برای غیرفعال کردن ورود به سیستم و دور زدن Windows Defender طراحی شده است. از چندین تکنیک برای تداوم در یک سیستم استفاده می کند، از جمله با جاسازی خود در رجیستری سیستم، با جاسازی خود به عنوان یک کار برنامه ریزی شده و با ایجاد یک میانبر راه اندازی روی سیستم.

یکی از سخنگویان تیم تحقیقاتی تهدیدات Securonix می‌گوید که تعداد و تنوع بررسی‌های ضد تحلیل و ضد نظارتی که این بدافزار انجام می‌دهد غیرعادی است. همچنین، تعداد زیادی لایه‌های مبهم برای بارها و تلاش‌های بدافزار برای جایگزینی یا تولید بارهای مرحله‌ای سفارشی سفارشی و کنترلی (C2) در پاسخ به تلاش‌های تحلیلی نیز وجود دارد: «برخی از تکنیک‌های مبهم‌سازی، مانند استفاده از PowerShell get- نام مستعار برای انجام [cmdlet invoke-expression] بسیار به ندرت دیده می شود."

فعالیت‌های مخرب به شیوه‌ای آگاه از OpSec با انواع مختلف بررسی‌های ضد تحلیل و تلاش‌های فرار در طول حمله، با سرعت عملیاتی نسبتاً بالا با بارهای سفارشی تزریق شده انجام شد. 

سخنگوی می‌گوید: «بر اساس جزئیات حمله، یکی از نکات مهم برای سازمان‌های دیگر توجه بیشتر به نظارت بر ابزارهای امنیتی شما است. سازمان‌ها باید اطمینان حاصل کنند که ابزارهای امنیتی همانطور که انتظار می‌رود کار می‌کنند و از تکیه بر یک ابزار امنیتی یا فناوری واحد برای شناسایی تهدیدها اجتناب کنند.»

یک تهدید سایبری رو به رشد

کمپین STEEP#MAVERICK تنها آخرین مورد از تعداد فزاینده‌ای است که در سال‌های اخیر پیمانکاران و تامین‌کنندگان دفاعی را هدف قرار داده است. بسیاری از این کمپین ها شامل بازیگران تحت حمایت دولت بوده است که خارج از چین، روسیه، کره شمالی و سایر کشورها فعالیت می کنند. 

به عنوان مثال، در ژانویه، آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) هشداری هشدار داد که بازیگران تحت حمایت دولت روسیه در حملات طراحی شده پیمانکاران دفاعی پاکسازی شده (CDCs) را هدف قرار می دهند. برای سرقت اطلاعات و فناوری حساس دفاعی ایالات متحده. هشدار CISA این حملات را هدف قرار دادن بخش وسیعی از CDCها، از جمله مواردی که در توسعه سیستم‌های رزمی، فناوری‌های اطلاعاتی و نظارتی، توسعه تسلیحات و موشک‌ها، و طراحی وسایل نقلیه و هواپیماهای جنگی دخیل هستند، توصیف کرد.

در ماه فوریه، محققان در Palo Alto Networks گزارش دادند که حداقل چهار پیمانکار دفاعی ایالات متحده در کمپینی برای توزیع هدف قرار گرفتند. یک درب پشتی بدون فایل و بدون سوکت به نام SockDetour. این حملات بخشی از یک کمپین گسترده‌تر بود که فروشنده امنیتی همراه با آژانس امنیت ملی در سال 2021 با مشارکت یک گروه مداوم و پیشرفته چینی بررسی کرده بود. پیمانکاران دفاعی هدفمند و سازمان ها در چندین بخش دیگر.

پیمانکاران دفاعی: یک بخش آسیب پذیر

به نگرانی‌ها در مورد افزایش حجم حملات سایبری آسیب‌پذیری نسبی بسیاری از پیمانکاران دفاعی، علی‌رغم داشتن رازهایی است که باید از نزدیک محافظت شود. 

تحقیقات اخیری که بلک کایت در مورد اقدامات امنیتی 100 پیمانکار برتر دفاعی ایالات متحده انجام داد، نشان داد که نزدیک به یک سوم (32%) در برابر حملات باج افزار آسیب پذیر است. این به دلیل عواملی مانند اطلاعات کاربری لو رفته یا به خطر افتاده، و عملکردهای ضعیف در زمینه‌هایی مانند مدیریت اعتبارنامه، امنیت برنامه‌ها و امنیت لایه/لایه انتقال سوکت‌های امنیتی است. 

هفتاد و دو درصد از پاسخ دهندگان در گزارش بادبادک سیاه حداقل یک حادثه را تجربه کرده اند که شامل یک اعتبارنامه لو رفته است.

ممکن است نوری در انتهای تونل وجود داشته باشد: وزارت دفاع ایالات متحده، همراه با ذینفعان صنعت، مجموعه‌ای از بهترین شیوه‌های امنیت سایبری را برای پیمانکاران نظامی ایجاد کرده است تا از آنها برای محافظت از داده‌های حساس استفاده کنند. بر اساس برنامه صدور گواهینامه مدل بلوغ امنیت سایبری وزارت دفاع، پیمانکاران دفاعی ملزم به اجرای این شیوه‌ها - و داشتن گواهینامه برای فروش به دولت هستند. خبر بد؟ انتشار برنامه به تأخیر افتاده است.