En cyberattackkampanj, potentiellt inriktad på cyberspionage, belyser den allt mer sofistikerade karaktären hos cyberhot riktade mot försvarsentreprenörer i USA och på andra håll.
Den hemliga kampanjen, som forskare vid Securonix upptäckt och spårar som STEEP#MAVERICK, har drabbat flera vapenentreprenörer i Europa under de senaste månaderna, inklusive potentiellt en leverantör till det amerikanska F-35 Lightning II stridsflygplansprogrammet.
Det som gör kampanjen anmärkningsvärd enligt säkerhetsleverantören är den övergripande uppmärksamhet som angriparen har ägnat åt operationssäkerhet (OpSec) och för att säkerställa att deras skadliga programvara är svår att upptäcka, svår att ta bort och utmanande att analysera.
Den PowerShell-baserade malware stager som användes i attackerna har "innehöll en rad intressanta taktiker, uthållighetsmetodik, mot-kriminalteknik och lager på lager av förvirring för att dölja dess kod”, sa Securonix i en rapport denna vecka.
Ovanliga funktioner för skadlig programvara
Kampanjen STEEP#MAVERICK verkar ha startat på sensommaren med attacker mot två högprofilerade försvarsentreprenörer i Europa. Precis som många andra kampanjer började attackkedjan med ett nätfiske-e-postmeddelande som innehöll en komprimerad (.zip) fil med en genvägsfil (.lnk) till ett PDF-dokument som påstås beskriva företagets fördelar. Securonix beskrev nätfiske-e-postmeddelandet som att likna ett det hade stött på i en kampanj tidigare i år som involverade Nordkoreas APT37 (aka Konni) hotgrupp.
När .lnk-filen körs utlöser den vad Securonix beskrev som en "ganska stor och robust kedja av stegrar", var och en skriven i PowerShell och med så många som åtta obfuskeringslager. Skadlig programvara har också omfattande anti-kriminaltekniska och motfelsökningsfunktioner som inkluderar övervakning av en lång rad processer som kan användas för att leta efter skadligt beteende. Skadlig programvara är utformad för att inaktivera loggning och kringgå Windows Defender. Den använder flera tekniker för att fortsätta på ett system, inklusive genom att bädda in sig själv i systemregistret, genom att bädda in sig själv som en schemalagd uppgift och genom att skapa en startgenväg på systemet.
En talesperson för Securonix's Threat Research Team säger att antalet och variationen av antianalys- och antiövervakningskontroller som skadlig programvara har är ovanlig. Så är också det stora antalet fördunklingslager för nyttolaster och skadlig programvaras försök att ersätta eller generera nya anpassade kommando-och-kontroll (C2) stager-nyttolaster som svar på analysförsök: "Vissa fördunklingstekniker, som att använda PowerShell get- alias för att utföra [invoke-expression cmdlet] ses mycket sällan."
De skadliga aktiviteterna utfördes på ett OpSec-medvetet sätt med olika typer av antianalyskontroller och undanflyktsförsök under hela attacken, i ett relativt högt operativt tempo med anpassade nyttolaster injicerade.
"Baserat på detaljerna i attacken är en takeaway för andra organisationer att ägna extra uppmärksamhet åt att övervaka dina säkerhetsverktyg", säger talespersonen. "Organisationer bör se till att säkerhetsverktyg fungerar som förväntat och undvika att förlita sig på ett enda säkerhetsverktyg eller -teknik för att upptäcka hot."
Ett växande cyberhot
Kampanjen STEEP#MAVERICK är bara den senaste i ett växande antal som har riktat sig till försvarsentreprenörer och leverantörer de senaste åren. Många av dessa kampanjer har involverat statsstödda aktörer som verkar från Kina, Ryssland, Nordkorea och andra länder.
I januari utfärdade till exempel den amerikanska byrån för cybersäkerhet och infrastruktursäkerhet (CISA) en varning för ryska statligt sponsrade aktörer som riktade in sig på så kallade cleared defense contractors (CDC) i attacker utformade att stjäla känslig amerikansk försvarsinformation och teknologi. CISA-varningen beskrev attackerna som inriktade på ett brett spektrum av CDC:er, inklusive de som är involverade i utveckling av stridssystem, underrättelse- och övervakningsteknik, vapen- och missilutveckling samt design av stridsfordon och flygplan.
I februari rapporterade forskare vid Palo Alto Networks om minst fyra amerikanska försvarsentreprenörer som måltavlas i en kampanj för att distribuera en fillös, uttagslös bakdörr som heter SockDetour. Attackerna var en del av en bredare kampanj som säkerhetsleverantören hade undersökt tillsammans med National Security Agency 2021 som involverade en kinesisk avancerad ihärdig grupp som riktade försvarsentreprenörer och organisationer inom flera andra sektorer.
Försvarsentreprenörer: ett sårbart segment
Att lägga till oron över den ökande volymen av cyberattacker är den relativa sårbarheten hos många försvarsentreprenörer, trots att de har hemligheter som bör bevakas noga.
Ny forskning som Black Kite genomförde om säkerhetspraxis hos de 100 främsta amerikanska försvarsentreprenörerna visade att nästan en tredjedel (32 %) är sårbara för ransomware-attacker. Detta beror på faktorer som läckta eller komprometterade autentiseringsuppgifter och svag praxis inom områden som autentiseringshantering, applikationssäkerhet och Security Sockets Layer/Transport Layer Security.
XNUMX procent av de tillfrågade i Black Kite-rapporten har upplevt minst en incident som involverar en läckt referens.
Det kan finnas ljus i slutet av tunneln: USA:s försvarsdepartement har i samarbete med industrins intressenter utvecklat en uppsättning bästa praxis för cybersäkerhet för militära entreprenörer att använda för att skydda känslig data. Enligt DoD:s Cybersecurity Maturity Model Certification-program måste försvarsentreprenörer implementera dessa metoder – och bli certifierade för att ha dem – för att kunna sälja till regeringen. De dåliga nyheterna? Utrullningen av programmet har blivit försenad.
