잠재적으로 사이버 스파이 활동에 편향된 사이버 공격 캠페인은 미국 및 기타 지역의 방위 계약자를 대상으로 하는 사이버 위협의 점점 더 정교해지는 특성을 강조하고 있습니다.
Securonix의 연구원들이 STEEP#MAVERICK로 탐지하고 추적하고 있는 이 은밀한 캠페인은 최근 몇 달 동안 잠재적으로 미국 F-35 Lightning II 전투기 프로그램의 공급업체를 포함하여 유럽의 여러 무기 계약업체를 강타했습니다.
보안 공급업체에 따르면 이 캠페인을 주목할 만한 이유는 공격자가 운영 보안(OpSec)에 지불한 전반적인 관심과 멀웨어를 탐지하기 어렵고, 제거하기 어렵고, 분석하기 어렵다는 점입니다.
공격에 사용된 PowerShell 기반 악성코드 스테이저는 “흥미로운 전술을 선보였습니다., 코드를 숨기기 위한 난독화 레이어의 지속성 방법론, 카운터 포렌식 및 레이어”라고 Securonix는 이번 주 보고서에서 말했습니다.
일반적이지 않은 맬웨어 기능
STEEP#MAVERICK 캠페인은 늦여름에 유럽의 유명 방산 계약자 두 곳을 공격하면서 시작된 것으로 보입니다. 많은 캠페인과 마찬가지로 공격 체인은 회사 혜택을 설명하는 것으로 알려진 PDF 문서에 대한 바로가기(.lnk) 파일과 함께 압축(.zip) 파일이 포함된 스피어 피싱 이메일로 시작되었습니다. Securonix는 피싱 이메일이 올해 초 관련된 캠페인에서 접한 이메일과 유사하다고 설명했습니다. 북한의 APT37(일명 Konni) 위협 그룹.
.lnk 파일이 실행될 때 Securonix는 각각 PowerShell로 작성되고 최대 XNUMX개의 난독화 계층을 특징으로 하는 "다소 크고 강력한 스테이저 체인"이라고 설명하는 것을 트리거합니다. 이 멀웨어는 또한 악의적인 행동을 찾는 데 사용할 수 있는 긴 프로세스 목록을 모니터링하는 것을 포함하는 광범위한 포렌식 방지 및 카운터 디버깅 기능을 갖추고 있습니다. 이 맬웨어는 로깅을 비활성화하고 Windows Defender를 우회하도록 설계되었습니다. 시스템 레지스트리에 자체 포함, 예약된 작업으로 자체 포함, 시스템에 시작 바로 가기 생성 등 여러 가지 기술을 사용하여 시스템에서 지속됩니다.
Securonix의 Threat Research Team의 대변인은 멀웨어가 가지고 있는 안티 분석 및 안티 모니터링 검사의 수와 다양성이 이례적이라고 말했습니다. 페이로드에 대한 많은 난독화 계층과 분석 시도에 대한 응답으로 새로운 사용자 지정 명령 및 제어(C2) 스테이저 페이로드를 대체하거나 생성하려는 맬웨어의 시도도 마찬가지입니다. [invoke-expression cmdlet]을 수행하는 별칭은 거의 보이지 않습니다.”
악성 활동은 맞춤형 페이로드가 주입된 상대적으로 높은 작동 속도로 공격 전반에 걸쳐 다양한 유형의 분석 방지 검사 및 회피 시도를 통해 OpSec 인식 방식으로 수행되었습니다.
대변인은 "공격의 세부 사항을 기반으로 다른 조직이 보안 도구를 모니터링하는 데 특별한 주의를 기울이고 있다는 점을 알 수 있습니다."라고 말했습니다. "조직은 보안 도구가 예상대로 작동하는지 확인하고 단일 보안 도구나 기술에 의존하여 위협을 감지하지 않도록 해야 합니다."
증가하는 사이버 위협
STEEP#MAVERICK 캠페인은 최근 몇 년 동안 방산 계약자와 공급업체를 표적으로 삼은 점점 더 많은 수의 캠페인 중 가장 최근의 것입니다. 이러한 캠페인의 대부분은 중국, 러시아, 북한 및 기타 국가에서 활동하는 국가 지원 활동가와 관련이 있습니다.
예를 들어, XNUMX월에 미국 사이버 보안 및 인프라 보안국(CISA)은 설계된 공격에서 소위 CDC(Cleared Defense Contracts)를 목표로 하는 러시아 국가 후원 행위자에 대한 경고를 발령했습니다. 민감한 미국 국방 정보 및 기술을 훔치기 위해. CISA 경보는 이 공격이 전투 시스템 개발, 정보 및 감시 기술, 무기 및 미사일 개발, 전투 차량 및 항공기 설계와 관련된 사람들을 포함하여 광범위한 CDC를 대상으로 한다고 설명했습니다.
XNUMX월에 Palo Alto Networks의 연구원들은 최소 XNUMX명의 미국 방산업체가 배급 캠페인의 표적이 되었다고 보고했습니다. SockDetour라는 파일리스, 소켓리스 백도어. 이 공격은 보안 벤더가 2021년에 국가안보국과 함께 조사한 중국의 고급 영구 그룹과 관련된 광범위한 캠페인의 일부였습니다. 표적 방어 계약자 및 기타 여러 부문의 조직.
국방 계약자: 취약한 부문
사이버 공격의 증가에 대한 우려를 더하는 것은 철저하게 보호해야 하는 비밀이 있음에도 불구하고 많은 방위 산업체의 상대적 취약성입니다.
Black Kite가 미국 상위 100대 방위 산업체의 보안 관행에 대해 수행한 최근 연구에 따르면 거의 32분의 XNUMX(XNUMX%)이 랜섬웨어 공격에 취약. 이는 자격 증명 유출 또는 손상된 자격 증명과 같은 요인과 자격 증명 관리, 응용 프로그램 보안 및 보안 소켓 계층/전송 계층 보안과 같은 영역의 취약한 관행 때문입니다.
Black Kite 보고서의 응답자 중 XNUMX%는 자격 증명 유출과 관련된 사건을 최소 한 번 경험했습니다.
터널 끝에 빛이 있을 수 있습니다. 미 국방부는 업계 이해관계자와 함께 군사 계약자가 민감한 데이터를 보호하는 데 사용할 수 있는 일련의 사이버 보안 모범 사례를 개발했습니다. DoD의 사이버 보안 성숙도 모델 인증 프로그램에 따라 국방 계약자는 정부에 판매할 수 있도록 이러한 관행을 구현하고 인증을 받아야 합니다. 나쁜 소식? 프로그램의 출시 지연되었습니다.
