サイバースパイ活動を目的とする可能性のあるサイバー攻撃キャンペーンは、米国などの防衛請負業者を標的とするサイバー脅威のますます巧妙化する性質を浮き彫りにしている。
Securonixの研究者がSTEEP#MAVERICKとして検知し追跡しているこの秘密キャンペーンは、ここ数カ月で欧州の複数の兵器請負業者を攻撃しており、その中には米国のF-35ライトニングII戦闘機プログラムへのサプライヤーの可能性も含まれている。
セキュリティ ベンダーによると、このキャンペーンが注目に値するのは、攻撃者がオペレーション セキュリティ (OpSec) と、マルウェアの検出、削除、分析が困難であることを保証することに全体的に注意を払っていることです。
攻撃に使用された PowerShell ベースのマルウェア ステージャーには、「興味深い戦術が多数登場しました、永続化方法論、対フォレンジック、コードを隠すための難読化の層を重ねた」と Securonix は今週のレポートで述べた。
珍しいマルウェアの機能
STEEP#MAVERICK キャンペーンは夏の終わりにヨーロッパの有名な防衛請負業者 2 社に対する攻撃で開始されたようです。多くのキャンペーンと同様、攻撃チェーンは、企業の利点を説明したとされる PDF ドキュメントへのショートカット (.lnk) ファイルを含む圧縮 (.zip) ファイルを含むスピア フィッシング電子メールから始まりました。 Securonix は、このフィッシングメールは、今年初めに行われたキャンペーンで遭遇したものに似ていると説明しました。 北朝鮮のAPT37(別名Konni)脅威グループ.
.lnk ファイルが実行されると、Securonix が「かなり大規模で堅牢なステージャーのチェーン」と表現したものがトリガーされます。各ステージャーは PowerShell で記述され、最大 8 つの難読化レイヤーを備えています。このマルウェアは、悪意のある動作を探すために使用される可能性のあるプロセスの長いリストの監視を含む、広範なアンチフォレンジックおよびカウンターデバッグ機能も備えています。このマルウェアは、ログ記録を無効にして Windows Defender をバイパスするように設計されています。このウイルスは、システム レジストリに自分自身を埋め込む、スケジュールされたタスクとして自分自身を埋め込む、システム上に起動ショートカットを作成するなど、いくつかの手法を使用してシステム上に存続します。
Securonix の脅威調査チームの広報担当者は、このマルウェアが備えている分析防止および監視防止チェックの数と種類が異常であると述べています。ペイロード用の多数の難読化レイヤーと、分析の試みに応じてマルウェアが新しいカスタム コマンド アンド コントロール (C2) ステージャー ペイロードを置き換えたり生成しようとしたりすることも同様です。 [invoke-expression コマンドレット] を実行するためのエイリアスはほとんど見られません。」
悪意のあるアクティビティは、カスタム ペイロードが挿入され、比較的高い操作テンポで、攻撃全体を通じてさまざまな種類の分析防止チェックと回避試行を伴う OpSec 対応の方法で実行されました。
「攻撃の詳細に基づくと、他の組織にとって重要なのは、セキュリティ ツールの監視に特別な注意を払っているということです」と広報担当者は言います。 「組織はセキュリティ ツールが期待どおりに機能することを確認し、脅威の検出を単一のセキュリティ ツールやテクノロジーに依存することを避ける必要があります。」
増大するサイバー脅威
STEEP#MAVERICK キャンペーンは、近年防衛請負業者やサプライヤーをターゲットにしたキャンペーンが増えていますが、その最新のものにすぎません。これらのキャンペーンの多くには、中国、ロシア、北朝鮮、その他の国で活動する国家支援の主体が関与しています。
例えば、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は1月、ロシアの国家支援主体がいわゆる認可防衛請負業者(CDC)を狙った攻撃を行っていると警告を発した。 米国の機密防衛情報と技術を盗むため。 CISAの警告では、攻撃は戦闘システムの開発、諜報・監視技術、兵器やミサイルの開発、戦闘車両や航空機の設計に関わるCDCを含む広範囲のCDCを標的にしていると説明した。
2月、パロアルトネットワークスの研究者らは、少なくとも米国の防衛請負業者4社が配布キャンペーンの標的になっていると報告した。 SockDetour と呼ばれるファイルレス、ソケットレスのバックドア。この攻撃は、2021 年にセキュリティ ベンダーが国家安全保障局と協力して調査した、中国の先進的で執拗なグループが関与する広範なキャンペーンの一環でした。 標的となった防衛請負業者 および他の複数の分野の組織。
防衛請負業者: 脆弱なセグメント
サイバー攻撃の量の増加に対する懸念に加えて、多くの防衛請負業者は厳重に守られるべき秘密を持っているにもかかわらず、相対的に脆弱であることが挙げられます。
Black Kite が米国の上位 100 社の防衛請負業者のセキュリティ慣行について実施した最近の調査では、ほぼ 32 分の XNUMX (XNUMX%) がセキュリティ対策を行っていることが示されました。 ランサムウェア攻撃に対して脆弱。これは、認証情報の漏洩または侵害などの要因、および認証情報管理、アプリケーション セキュリティ、セキュリティ ソケット レイヤ/トランスポート レイヤ セキュリティなどの分野における脆弱なプラクティスが原因です。
Black Kite レポートの回答者の 72% は、資格情報の漏洩に関する少なくとも 1 回のインシデントを経験しています。
トンネルの先には光があるかもしれません。米国国防総省は、業界関係者と協力して、軍事請負業者が機密データを保護するために使用できる一連のサイバーセキュリティのベスト プラクティスを開発しました。国防総省のサイバーセキュリティ成熟度モデル認定プログラムに基づき、防衛請負業者は政府に販売できるようにこれらの実践を実施し、実践していることの認定を受けることが求められています。悪い知らせは?プログラムの展開 遅れています.
