Een cyberaanvalcampagne, die mogelijk gericht is op cyberspionage, benadrukt de steeds geavanceerdere aard van cyberdreigingen gericht op defensiebedrijven in de VS en elders.
De geheime campagne, die onderzoekers van Securonix hebben ontdekt en gevolgd als STEEP#MAVERICK, heeft de afgelopen maanden meerdere wapenleveranciers in Europa getroffen, waaronder mogelijk een leverancier van het Amerikaanse F-35 Lightning II jachtvliegtuigprogramma.
Wat de campagne volgens de beveiligingsleverancier opmerkelijk maakt, is de algemene aandacht die de aanvaller heeft besteed aan operationele beveiliging (OpSec) en aan het garanderen dat zijn malware moeilijk te detecteren, moeilijk te verwijderen en moeilijk te analyseren is.
De op PowerShell gebaseerde malware-stager die bij de aanvallen wordt gebruikt, heeft “bevatte een scala aan interessante tactieken, persistentiemethodologie, contra-forensisch onderzoek en lagen van verduistering om de code ervan te verbergen”, zei Securonix deze week in een rapport.
Ongewone malwaremogelijkheden
De STEEP#MAVERICK-campagne lijkt aan het einde van de zomer van start te zijn gegaan met aanvallen op twee spraakmakende defensiebedrijven in Europa. Zoals bij veel campagnes begon de aanvalsketen met een spearphishing-e-mail die een gecomprimeerd bestand (.zip) bevatte met een snelkoppelingsbestand (.lnk) naar een pdf-document waarin zogenaamd de bedrijfsvoordelen werden beschreven. Securonix beschreef de phishing-e-mail als vergelijkbaar met een e-mail die eerder dit jaar in een campagne was aangetroffen De Noord-Koreaanse dreigingsgroep APT37 (ook bekend als Konni)..
Wanneer het .lnk-bestand wordt uitgevoerd, activeert het wat Securonix omschreef als een “vrij grote en robuuste keten van stagers”, elk geschreven in PowerShell en met maar liefst acht verduisteringslagen. De malware beschikt ook over uitgebreide anti-forensische en counter-debugging-mogelijkheden, waaronder het monitoren van een lange lijst met processen die kunnen worden gebruikt om kwaadaardig gedrag op te sporen. De malware is ontworpen om logboekregistratie uit te schakelen en Windows Defender te omzeilen. Het gebruikt verschillende technieken om op een systeem te blijven bestaan, onder meer door zichzelf in te sluiten in het systeemregister, door zichzelf in te sluiten als een geplande taak en door een opstartsnelkoppeling op het systeem te maken.
Een woordvoerder van het Threat Research Team van Securonix zegt dat het aantal en de verscheidenheid aan anti-analyse- en anti-monitoringcontroles die de malware biedt ongebruikelijk zijn. Dat geldt ook voor het grote aantal verduisteringslagen voor payloads en de pogingen van de malware om nieuwe aangepaste command-and-control (C2) stager-payloads te vervangen of te genereren als reactie op analysepogingen: “Sommige verduisteringstechnieken, zoals het gebruik van PowerShell alias om uit te voeren [de cmdlet invoke-expression] worden zeer zelden gezien.”
De kwaadaardige activiteiten werden uitgevoerd op een OpSec-bewuste manier met verschillende soorten anti-analysecontroles en ontwijkingspogingen tijdens de aanval, in een relatief hoog operationeel tempo met geïnjecteerde aangepaste payloads.
“Op basis van de details van de aanval is het voor andere organisaties een les om extra aandacht te besteden aan het monitoren van uw beveiligingstools”, zegt de woordvoerder. “Organisaties moeten ervoor zorgen dat beveiligingstools werken zoals verwacht en moeten voorkomen dat ze afhankelijk zijn van één enkele beveiligingstool of technologie om bedreigingen te detecteren.”
Een groeiende cyberdreiging
De STEEP#MAVERICK-campagne is slechts de laatste in een groeiend aantal campagnes die zich de afgelopen jaren op defensie-aannemers en -leveranciers hebben gericht. Bij veel van deze campagnes waren door de staat gesteunde actoren betrokken die opereren vanuit China, Rusland, Noord-Korea en andere landen.
In januari heeft de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) bijvoorbeeld een alarmwaarschuwing afgegeven voor Russische, door de staat gesponsorde actoren die zich richten op zogenoemde Cleared Defense Contractors (CDC’s) bij aanvallen die zijn ontworpen om gevoelige Amerikaanse defensie-informatie en -technologie te stelen. In het CISA-alarm werd beschreven dat de aanvallen gericht waren tegen een breed scala aan CDC’s, waaronder degenen die betrokken zijn bij de ontwikkeling van gevechtssystemen, inlichtingen- en surveillancetechnologieën, de ontwikkeling van wapens en raketten, en het ontwerp van gevechtsvoertuigen en vliegtuigen.
In februari rapporteerden onderzoekers van Palo Alto Networks dat ten minste vier Amerikaanse defensiebedrijven het doelwit waren van een distributiecampagne een bestandsloze, socketloze achterdeur genaamd SockDetour. De aanvallen maakten deel uit van een bredere campagne die de beveiligingsleverancier in 2021 samen met de National Security Agency had onderzocht, waarbij een Chinese geavanceerde aanhoudende groep betrokken was die gerichte defensiecontractanten en organisaties in tal van andere sectoren.
Defensie-aannemers: een kwetsbaar segment
Wat de zorgen over het toenemende aantal cyberaanvallen nog groter maakt, is de relatieve kwetsbaarheid van veel defensiebedrijven, ondanks het feit dat ze over geheimen beschikken die goed moeten worden bewaakt.
Uit recent onderzoek dat Black Kite heeft uitgevoerd naar de veiligheidspraktijken van de honderd grootste Amerikaanse defensiebedrijven blijkt dat bijna een derde (100%) dit ook doet. kwetsbaar voor ransomware-aanvallen. Dit komt door factoren zoals gelekte of gecompromitteerde inloggegevens en zwakke praktijken op gebieden als inloggegevensbeheer, applicatiebeveiliging en Security Sockets Layer/Transport Layer Security.
Tweeënzeventig procent van de respondenten in het Black Kite-rapport heeft minstens één incident meegemaakt waarbij een gelekt legitimatiebewijs betrokken was.
Er zou licht aan het einde van de tunnel kunnen zijn: het Amerikaanse ministerie van Defensie heeft in samenwerking met belanghebbenden uit de sector een reeks best practices op het gebied van cyberbeveiliging ontwikkeld die militaire aannemers kunnen gebruiken om gevoelige gegevens te beschermen. Volgens het Cybersecurity Maturity Model Certification-programma van het DoD zijn defensie-aannemers verplicht deze praktijken te implementeren – en daarvoor gecertificeerd te worden – om aan de overheid te kunnen verkopen. Het slechte nieuws? De uitrol van het programma is vertraagd.
