Potansiyel olarak siber casusluğa yönelik bir siber saldırı kampanyası, ABD ve diğer yerlerdeki savunma yüklenicilerini hedef alan siber tehditlerin giderek daha karmaşık hale gelen doğasını vurguluyor.
Securonix'teki araştırmacıların tespit ettiği ve STEEP#MAVERICK olarak takip ettiği gizli kampanya, son aylarda Avrupa'da çok sayıda silah yüklenicisini hedef aldı; bunlar arasında ABD F-35 Lightning II savaş uçağı programının potansiyel tedarikçisi de yer alıyor.
Güvenlik sağlayıcısına göre kampanyayı kayda değer kılan şey, saldırganın operasyon güvenliğine (OpSec) ve kötü amaçlı yazılımlarının tespit edilmesinin, kaldırılmasının ve analiz edilmesinin zor olmasını sağlamak için gösterdiği genel özendir.
Saldırılarda kullanılan PowerShell tabanlı kötü amaçlı yazılım hazırlayıcı "bir dizi ilginç taktik içeriyorduSecuronix bu hafta bir raporda şunları söyledi: ", kalıcılık metodolojisi, karşı adli bilimler ve kodunu gizlemek için katmanlar halinde gizleme.
Yaygın Olmayan Kötü Amaçlı Yazılım Yetenekleri
STEEP#MAVERICK kampanyası yaz sonunda Avrupa'daki iki yüksek profilli savunma yüklenicisine yönelik saldırılarla başlamış gibi görünüyor. Pek çok kampanya gibi, saldırı zinciri de şirketin faydalarını açıklayan bir PDF belgesine giden bir kısayol (.lnk) dosyası içeren sıkıştırılmış (.zip) bir dosya içeren hedef odaklı kimlik avı e-postasıyla başladı. Securonix, kimlik avı e-postasının bu yılın başındaki bir kampanyada karşılaştığı e-postaya benzer olduğunu belirtti. Kuzey Kore'nin APT37 (aka Konni) tehdit grubu.
.lnk dosyası yürütüldüğünde, Securonix'in "oldukça büyük ve sağlam bir aşamalandırıcı zinciri" olarak tanımladığı, her biri PowerShell'de yazılan ve sekize kadar gizleme katmanı içeren şeyi tetikler. Kötü amaçlı yazılım ayrıca, kötü amaçlı davranışları aramak için kullanılabilecek uzun bir işlem listesinin izlenmesini de içeren kapsamlı adli tıp ve karşı hata ayıklama yeteneklerine de sahiptir. Kötü amaçlı yazılım, günlüğe kaydetmeyi devre dışı bırakmak ve Windows Defender'ı atlamak için tasarlanmıştır. Bir sistemde kalıcı olmak için kendisini sistem kayıt defterine yerleştirmek, kendisini zamanlanmış bir görev olarak yerleştirmek ve sistemde bir başlangıç kısayolu oluşturmak dahil olmak üzere çeşitli teknikler kullanır.
Securonix'in Tehdit Araştırma Ekibi'nden bir sözcü, kötü amaçlı yazılımın sahip olduğu anti-analiz ve anti-izleme kontrollerinin sayısı ve çeşitliliğinin olağandışı olduğunu söyledi. Veri yükleri için çok sayıda gizleme katmanı ve kötü amaçlı yazılımın, analiz girişimlerine yanıt olarak yeni özel komuta ve kontrol (C2) aşamalandırıcı yüklerini değiştirme veya oluşturma girişimleri de aynı şekildedir: "PowerShell get- gerçekleştirmek için takma ad [invoke-expression cmdlet'i] çok nadiren görülür."
Kötü amaçlı faaliyetler, saldırı boyunca farklı türde anti-analiz kontrolleri ve kaçırma girişimleri ile OpSec'in farkında olduğu bir şekilde, özel yüklerin enjekte edildiği nispeten yüksek bir operasyonel tempoda gerçekleştirildi.
Sözcü, "Saldırının ayrıntılarına bakıldığında, diğer kuruluşların güvenlik araçlarını izlemeye ekstra dikkat etmeleri gerektiği ortaya çıkıyor" dedi. "Kuruluşlar, güvenlik araçlarının beklendiği gibi çalışmasını sağlamalı ve tehditleri tespit etmek için tek bir güvenlik aracına veya teknolojisine güvenmekten kaçınmalıdır."
Büyüyen Bir Siber Tehdit
STEEP#MAVERICK kampanyası, son yıllarda savunma yüklenicilerini ve tedarikçilerini hedef alan sayıları giderek artan kampanyalardan yalnızca sonuncusu. Bu kampanyaların çoğu Çin, Rusya, Kuzey Kore ve diğer ülkelerde faaliyet gösteren devlet destekli aktörleri içeriyordu.
Örneğin Ocak ayında, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Rus devlet destekli aktörlerin, tasarlanmış saldırılarda sözde temiz savunma yüklenicilerini (CDC'ler) hedef aldığına dair bir uyarı uyarısı yayınladı. hassas ABD savunma bilgilerini ve teknolojisini çalmak. CISA uyarısında, saldırıların savaş sistemleri, istihbarat ve gözetleme teknolojileri, silahlar ve füze geliştirme ile savaş aracı ve uçak tasarımı geliştirmeyle ilgilenenler de dahil olmak üzere geniş bir CDC alanını hedef aldığı belirtildi.
Şubat ayında, Palo Alto Networks'teki araştırmacılar, en az dört ABD'li savunma yüklenicisinin, dağıtım kampanyasında hedef alındığını bildirdi. SockDetour adında dosyasız, soketsiz bir arka kapı. Saldırılar, güvenlik sağlayıcısının 2021 yılında Ulusal Güvenlik Ajansı ile birlikte araştırdığı ve Çin'in ileri düzey kalıcı bir grubunu içeren daha geniş bir kampanyanın parçasıydı. hedeflenen savunma müteahhitleri ve diğer birçok sektördeki kuruluşlar.
Savunma Müteahhitleri: Savunmasız Bir Kesim
Siber saldırıların artan hacmine ilişkin endişelere ek olarak, pek çok savunma yüklenicisinin, yakından korunması gereken sırlara sahip olmasına rağmen göreceli olarak savunmasız olması da yer alıyor.
Black Kite'ın ABD'nin en büyük 100 savunma yüklenici firmasının güvenlik uygulamalarına yönelik yürüttüğü son araştırma, neredeyse üçte birinin (%32) fidye yazılımı saldırılarına karşı savunmasız. Bunun nedeni, kimlik bilgilerinin sızdırılması veya ele geçirilmesi gibi faktörler ile kimlik bilgileri yönetimi, uygulama güvenliği ve Güvenlik Yuva Katmanı/Aktarım Katmanı Güvenliği gibi alanlardaki zayıf uygulamalardır.
Black Kite raporuna katılanların yüzde yetmiş ikisi, kimlik bilgilerinin sızdırılmasıyla ilgili en az bir olay yaşadı.
Tünelin sonunda ışık olabilir: ABD Savunma Bakanlığı, endüstri paydaşlarıyla birlikte, askeri yüklenicilerin hassas verileri korumak için kullanabilecekleri bir dizi siber güvenlik en iyi uygulamasını geliştirdi. Savunma Bakanlığı'nın Siber Güvenlik Olgunluk Modeli Sertifikasyon programı kapsamında, savunma müteahhitlerinin devlete satış yapabilmeleri için bu uygulamaları uygulamaları ve bunlara sahip olduklarının onaylanması gerekiyor. Kötü haber mi? Programın kullanıma sunulması ertelendi.
