Kampanja kibernetskih napadov, potencialno usmerjena v kibernetsko vohunjenje, poudarja vse bolj prefinjeno naravo kibernetskih groženj, ki ciljajo na obrambne izvajalce v ZDA in drugod.
Tajna kampanja, ki so jo raziskovalci pri Securonixu zaznali in ji sledijo kot STEEP#MAVERICK, je v zadnjih mesecih prizadela več izvajalcev orožja v Evropi, vključno z morebitnim dobaviteljem ameriškega programa lovskih letal F-35 Lightning II.
Zaradi česar je kampanja po mnenju prodajalca varnosti omembe vredna splošna pozornost, ki jo je napadalec namenil varnosti operacij (OpSec) in zagotavljanju, da je njihovo zlonamerno programsko opremo težko zaznati, odstraniti in jo je težko analizirati.
The PowerShell-based malware stager used in the attacks have “predstavil vrsto zanimivih taktik, persistence methodology, counter-forensics and layers upon layers of obfuscation to hide its code,” Securonix said in a report this week.
Občasne zmogljivosti zlonamerne programske opreme
Zdi se, da se je kampanja STEEP#MAVERICK začela pozno poleti z napadi na dva ugledna obrambna izvajalca v Evropi. Tako kot mnoge kampanje se je veriga napadov začela z e-poštnim sporočilom s lažnim predstavljanjem, ki je vsebovalo stisnjeno (.zip) datoteko z bližnjico (.lnk) do dokumenta PDF, ki naj bi opisoval prednosti podjetja. Securonix je e-poštno sporočilo z lažnim predstavljanjem opisal kot podobno tistemu, na katerega je naletel v kampanji v začetku tega leta, ki je vključevala North Korea’s APT37 (aka Konni) threat group.
When the .lnk file is executed, it triggers what Securonix described as a “rather large and robust chain of stagers,” each written in PowerShell and featuring as many as eight obfuscation layers. The malware also features extensive anti-forensic and counter-debugging capabilities which include monitoring a long list of processes that could be uses to look for malicious behavior. The malware is designed to disable logging and bypass Windows Defender. It uses several techniques to persist on a system, including by embedding itself in the system registry, by embedding itself as a scheduled task and by creating a startup shortcut on the system.
A spokesperson with Securonix’s Threat Research Team says the number and variety of anti-analysis and anti-monitoring checks the malware has is unusual. So, too, is the large number of obfuscation layers for payloads and the malware’s attempts to substitute or generate new custom command-and-control (C2) stager payloads in response to analysis attempts: “Some obfuscation techniques, such as using PowerShell get-alias to perform [the invoke-expression cmdlet] are very rarely seen.”
Zlonamerne dejavnosti so bile izvedene na način, ki se zaveda OpSec, z različnimi vrstami preverjanj proti analizi in poskusi utaj med celotnim napadom, pri razmeroma visokem delovnem tempu z vbrizganimi uporabnimi obremenitvami po meri.
“Based on the details of the attack, one takeaway for other organizations is paying extra attention to monitoring your security tools,” the spokesperson says. “Organizations should ensure security tools work as expected and avoid relying on a single security tool or technology to detect threats.”
Naraščajoča kibernetska grožnja
Kampanja STEEP#MAVERICK je le zadnja v naraščajočem številu, ki je v zadnjih letih ciljalo na obrambne izvajalce in dobavitelje. Mnoge od teh kampanj so vključevale akterje s podporo države, ki delujejo iz Kitajske, Rusije, Severne Koreje in drugih držav.
Januarja je na primer ameriška Agencija za kibernetsko varnost in varnost infrastrukture (CISA) izdala opozorilo, da ruski akterji, ki jih sponzorira država, ciljajo na tako imenovane odobrene obrambne izvajalce (CDC) v napadih, ki so bili zasnovani za krajo občutljivih obrambnih informacij in tehnologije ZDA. Opozorilo CISA je opisalo napade, kot da ciljajo na širok krog CDC-jev, vključno s tistimi, ki sodelujejo pri razvoju bojnih sistemov, obveščevalnih in nadzornih tehnologij, razvoju orožja in izstrelkov ter oblikovanju bojnih vozil in letal.
Februarja so raziskovalci pri Palo Alto Networks poročali o najmanj štirih ameriških obrambnih izvajalcih, ki so bili tarča kampanje za distribucijo zadnja vrata brez datotek in vtičnic, imenovana SockDetour. Napadi so bili del širše kampanje, ki jo je prodajalec varnosti preiskoval skupaj z Agencijo za nacionalno varnost leta 2021 in je vključevala kitajsko napredno vztrajno skupino, ki ciljno usmerjeni obrambni izvajalci in organizacije v številnih drugih sektorjih.
Obrambni izvajalci: ranljiv segment
Zaskrbljenost zaradi naraščajočega obsega kibernetskih napadov še povečuje relativna ranljivost številnih obrambnih izvajalcev, čeprav imajo skrivnosti, ki jih je treba skrbno varovati.
Nedavna raziskava, ki jo je Black Kite izvedel o varnostnih praksah 100 najboljših obrambnih izvajalcev v ZDA, je pokazala, da je skoraj tretjina (32 %) ranljivi za napade izsiljevalske programske opreme. Razlog za to so dejavniki, kot so razkrite ali ogrožene poverilnice, in šibke prakse na področjih, kot so upravljanje poverilnic, varnost aplikacij in plast varnostnih vtičnic/varnost transportne plasti.
Dvainsedemdeset odstotkov anketirancev v poročilu Black Kite je doživelo vsaj en incident, ki je vključeval razkrite poverilnice.
There could be light at the end of the tunnel: The US Department of Defense, in conjunction with industry stakeholders, has developed a set of cybersecurity best practices for military contractors to use to protect sensitive data. Under the DoD’s Cybersecurity Maturity Model Certification program, defense contractors are required to implement these practices — and get certified as having them — to be able to sell to government. The bad news? The rollout of the program je zamujal.
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
