แคมเปญโจมตีทางไซเบอร์แบบแอบแฝงที่มีความซับซ้อนกำหนดเป้าหมายผู้รับเหมาทางทหาร

แคมเปญการโจมตีทางไซเบอร์ที่อาจมุ่งเป้าไปที่การจารกรรมทางไซเบอร์กำลังเน้นย้ำลักษณะที่ซับซ้อนมากขึ้นของภัยคุกคามทางไซเบอร์ที่มุ่งเป้าไปที่ผู้รับเหมาด้านการป้องกันในสหรัฐอเมริกาและที่อื่น ๆ

แคมเปญลับซึ่งนักวิจัยที่ Securonix ตรวจพบและติดตามในชื่อ STEEP#MAVERICK ได้โจมตีผู้รับเหมาอาวุธหลายรายในยุโรปในช่วงไม่กี่เดือนที่ผ่านมา ซึ่งรวมถึงซัพพลายเออร์ให้กับโครงการเครื่องบินรบ F-35 Lightning II ของสหรัฐฯ

สิ่งที่ทำให้แคมเปญนี้โดดเด่นตามผู้จำหน่ายความปลอดภัยคือความสนใจโดยรวมที่ผู้โจมตีจ่ายให้กับความปลอดภัยในการปฏิบัติงาน (OpSec) และเพื่อให้มั่นใจว่ามัลแวร์ของพวกเขาตรวจพบได้ยาก ลบยาก และท้าทายในการวิเคราะห์ 

ตัวจัดการมัลแวร์ที่ใช้ PowerShell ที่ใช้ในการโจมตีมี “นำเสนอกลยุทธ์ที่น่าสนใจมากมาย, วิธีการคงอยู่, การตอบโต้ทางนิติวิทยาศาสตร์ และการทำให้สับสนหลายชั้นเพื่อซ่อนรหัสของมัน” Securonix กล่าวในรายงานในสัปดาห์นี้

ความสามารถของมัลแวร์ที่ไม่ธรรมดา

ดูเหมือนว่าแคมเปญ STEEP#MAVERICK จะเปิดตัวในช่วงปลายฤดูร้อน โดยมีการโจมตีผู้รับเหมาด้านกลาโหมที่มีชื่อเสียงสองรายในยุโรป เช่นเดียวกับหลายๆ แคมเปญ ห่วงโซ่การโจมตีเริ่มต้นด้วยอีเมลฟิชชิ่งแบบหอกที่มีไฟล์บีบอัด (.zip) พร้อมไฟล์ทางลัด (.lnk) ไปยังเอกสาร PDF ที่อ้างว่าอธิบายถึงผลประโยชน์ของบริษัท Securonix อธิบายว่าอีเมลฟิชชิ่งนี้คล้ายคลึงกับอีเมลที่พบในแคมเปญเมื่อต้นปีนี้ที่เกี่ยวข้อง กลุ่มภัยคุกคาม APT37 (หรือที่รู้จักกันในชื่อ Konni) ของเกาหลีเหนือ.

เมื่อไฟล์ .lnk ถูกดำเนินการ มันจะทริกเกอร์สิ่งที่ Securonix อธิบายว่าเป็น “กลุ่มตัวแบ่งระดับที่ค่อนข้างใหญ่และแข็งแกร่ง” แต่ละไฟล์เขียนใน PowerShell และมีชั้น obfuscation มากถึงแปดชั้น มัลแวร์ยังมีความสามารถในการต่อต้านการพิสูจน์หลักฐานและการตอบโต้การแก้ไขข้อบกพร่องซึ่งรวมถึงการตรวจสอบรายการกระบวนการจำนวนมากที่สามารถใช้เพื่อค้นหาพฤติกรรมที่เป็นอันตราย มัลแวร์ได้รับการออกแบบมาเพื่อปิดการบันทึกและเลี่ยงผ่าน Windows Defender โดยจะใช้เทคนิคต่างๆ มากมายเพื่อคงอยู่บนระบบ รวมถึงการฝังตัวเองในรีจิสทรีของระบบ โดยการฝังตัวเองเป็นงานที่กำหนดเวลาไว้ และโดยการสร้างทางลัดการเริ่มต้นระบบบนระบบ

โฆษกของทีมวิจัยภัยคุกคามของ Securonix กล่าวว่าจำนวนและความหลากหลายของการตรวจสอบป้องกันการวิเคราะห์และป้องกันการตรวจสอบที่มัลแวร์มีนั้นผิดปกติ ดังนั้น เลเยอร์ obfuscation จำนวนมากสำหรับเพย์โหลดและความพยายามของมัลแวร์ในการทดแทนหรือสร้างเพย์โหลด stager command-and-control (C2) แบบกำหนดเองใหม่เพื่อตอบสนองต่อความพยายามในการวิเคราะห์: “เทคนิคการทำให้งงงวยบางอย่าง เช่น การใช้ PowerShell get- นามแฝงในการดำเนินการ [cmdlet การเรียกใช้นิพจน์] นั้นไม่ค่อยพบเห็นมากนัก”

กิจกรรมที่เป็นอันตรายดำเนินการในลักษณะที่รับรู้โดย OpSec โดยมีการตรวจสอบป้องกันการวิเคราะห์ประเภทต่างๆ และการพยายามหลบเลี่ยงตลอดการโจมตี ด้วยจังหวะการปฏิบัติงานที่ค่อนข้างสูงโดยมีการแทรกเพย์โหลดแบบกำหนดเอง 

“ตามรายละเอียดของการโจมตี สิ่งที่สำคัญที่สุดสำหรับองค์กรอื่นคือการให้ความสนใจเป็นพิเศษในการตรวจสอบเครื่องมือรักษาความปลอดภัยของคุณ” โฆษกกล่าว “องค์กรควรตรวจสอบให้แน่ใจว่าเครื่องมือรักษาความปลอดภัยทำงานตามที่คาดหวัง และหลีกเลี่ยงการพึ่งพาเครื่องมือหรือเทคโนโลยีความปลอดภัยตัวเดียวในการตรวจจับภัยคุกคาม”

ภัยคุกคามทางไซเบอร์ที่เพิ่มมากขึ้น

แคมเปญ STEEP#MAVERICK เป็นเพียงแคมเปญล่าสุดในจำนวนที่เพิ่มขึ้นซึ่งกำหนดเป้าหมายไปที่ผู้รับเหมาด้านกลาโหมและซัพพลายเออร์ในช่วงไม่กี่ปีที่ผ่านมา แคมเปญเหล่านี้หลายแคมเปญเกี่ยวข้องกับผู้มีบทบาทที่ได้รับการสนับสนุนจากรัฐที่ดำเนินงานนอกประเทศจีน รัสเซีย เกาหลีเหนือ และประเทศอื่นๆ 

ตัวอย่างเช่น ในเดือนมกราคม สำนักงานความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานด้านความปลอดภัยทางไซเบอร์ของสหรัฐฯ (CISA) ได้ออกคำเตือนการแจ้งเตือนเกี่ยวกับผู้มีบทบาทที่ได้รับการสนับสนุนจากรัฐรัสเซีย โดยกำหนดเป้าหมายที่เรียกว่า Cleared Defense Contractors (CDCs) ในการโจมตีที่ได้รับการออกแบบ เพื่อขโมยข้อมูลและเทคโนโลยีการป้องกันประเทศที่ละเอียดอ่อนของสหรัฐฯ. การแจ้งเตือนของ CISA อธิบายว่าการโจมตีดังกล่าวมุ่งเป้าไปที่ CDC ในวงกว้าง รวมถึงผู้ที่เกี่ยวข้องกับการพัฒนาระบบการต่อสู้ เทคโนโลยีข่าวกรองและการเฝ้าระวัง การพัฒนาอาวุธและขีปนาวุธ และการออกแบบยานพาหนะต่อสู้และเครื่องบิน

ในเดือนกุมภาพันธ์ นักวิจัยที่ Palo Alto Networks รายงานว่าผู้รับเหมาด้านกลาโหมของสหรัฐฯ อย่างน้อยสี่รายตกเป็นเป้าหมายในการรณรงค์เพื่อกระจาย ประตูหลังที่ไม่มีไฟล์และไม่มีซ็อกเก็ตที่เรียกว่า SockDetour. การโจมตีดังกล่าวเป็นส่วนหนึ่งของการรณรงค์ในวงกว้างที่ผู้จำหน่ายระบบรักษาความปลอดภัยรายดังกล่าวได้สอบสวนร่วมกับสำนักงานความมั่นคงแห่งชาติในปี 2021 ที่เกี่ยวข้องกับกลุ่มต่อต้านขั้นสูงของจีนที่ ผู้รับเหมาป้องกันเป้าหมาย และองค์กรในภาคส่วนอื่นๆ อีกหลายภาคส่วน

ผู้รับเหมาด้านการป้องกัน: ส่วนที่มีช่องโหว่

สิ่งที่น่ากังวลเพิ่มเติมเกี่ยวกับปริมาณการโจมตีทางไซเบอร์ที่เพิ่มขึ้นคือความเปราะบางของผู้รับเหมาด้านการป้องกันหลายราย แม้ว่าจะมีความลับที่ควรได้รับการปกป้องอย่างใกล้ชิดก็ตาม 

การวิจัยล่าสุดที่ Black Kite ดำเนินการเกี่ยวกับแนวทางปฏิบัติด้านความปลอดภัยของผู้รับเหมาด้านกลาโหม 100 อันดับแรกของสหรัฐฯ แสดงให้เห็นว่าเกือบหนึ่งในสาม (32%) เสี่ยงต่อการโจมตีของแรนซัมแวร์. นี่เป็นเพราะปัจจัยต่างๆ เช่น ข้อมูลรับรองที่รั่วไหลหรือถูกบุกรุก และแนวทางปฏิบัติที่อ่อนแอในด้านต่างๆ เช่น การจัดการข้อมูลรับรอง ความปลอดภัยของแอปพลิเคชัน และ Security Sockets Layer/Transport Layer Security 

เจ็ดสิบสองเปอร์เซ็นต์ของผู้ตอบแบบสอบถามในรายงาน Black Kite เคยประสบปัญหาอย่างน้อยหนึ่งครั้งที่เกี่ยวข้องกับข้อมูลประจำตัวที่รั่วไหล

อาจมีแสงสว่างที่ปลายอุโมงค์: กระทรวงกลาโหมสหรัฐฯ ร่วมกับผู้มีส่วนได้ส่วนเสียในอุตสาหกรรมได้พัฒนาชุดแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยทางไซเบอร์สำหรับผู้รับเหมาทางทหารเพื่อใช้ในการปกป้องข้อมูลที่ละเอียดอ่อน ภายใต้โปรแกรมการรับรองโมเดลความปลอดภัยทางไซเบอร์ของกระทรวงกลาโหม ผู้รับเหมาด้านการป้องกันจะต้องนำแนวทางปฏิบัติเหล่านี้ไปใช้ และได้รับการรับรองว่ามีแนวทางดังกล่าวจึงจะสามารถขายให้กับรัฐบาลได้ ข่าวร้าย? การเปิดตัวของโปรแกรม ล่าช้า.