一场可能致力于网络间谍活动的网络攻击活动凸显了针对美国和其他地方的国防承包商的网络威胁日益复杂的性质。
Securonix 的研究人员发现并以 STEEP#MAVERICK 的名称追踪的这一秘密活动近几个月袭击了欧洲的多家武器承包商,其中包括美国 F-35 闪电 II 战斗机计划的潜在供应商。
根据安全供应商的说法,该活动之所以值得注意,是因为攻击者对操作安全 (OpSec) 以及确保其恶意软件难以检测、难以删除且难以分析的整体关注。
攻击中使用的基于 PowerShell 的恶意软件 stager 具有“具有一系列有趣的战术、持久性方法、反取证和层层混淆来隐藏其代码,”Securonix 在本周的一份报告中表示。
不常见的恶意软件功能
STEEP#MAVERICK 活动似乎于夏末发起,针对欧洲两家知名国防承包商进行了攻击。与许多活动一样,攻击链始于一封鱼叉式网络钓鱼电子邮件,其中包含一个压缩 (.zip) 文件,以及一个据称描述公司利益的 PDF 文档的快捷方式 (.lnk) 文件。 Securonix 称这封网络钓鱼电子邮件与今年早些时候在一次涉及网络钓鱼的活动中遇到的电子邮件类似。 朝鲜的 APT37(又名 Konni)威胁组织.
当执行 .lnk 文件时,它会触发 Securonix 所描述的“相当大且强大的阶段链”,每个阶段都用 PowerShell 编写,并具有多达八个混淆层。该恶意软件还具有广泛的反取证和反调试功能,其中包括监视可用于查找恶意行为的一长串进程。该恶意软件旨在禁用日志记录并绕过 Windows Defender。它使用多种技术来持久保留在系统上,包括将自身嵌入到系统注册表中、将自身嵌入为计划任务以及在系统上创建启动快捷方式。
Securonix 威胁研究团队的一位发言人表示,该恶意软件的反分析和反监控检查的数量和种类是不寻常的。同样,大量的有效负载混淆层以及恶意软件尝试替换或生成新的自定义命令和控制 (C2) stager 有效负载以响应分析尝试也是如此:“一些混淆技术,例如使用 PowerShell get-执行 [invoke-expression cmdlet] 的别名很少见。”
恶意活动以 OpSec 感知方式执行,在整个攻击过程中进行不同类型的反分析检查和规避尝试,并以相对较高的操作节奏注入自定义有效负载。
“根据攻击的详细信息,其他组织的一个要点是要格外注意监控您的安全工具,”发言人表示。 “组织应确保安全工具按预期工作,并避免依赖单一安全工具或技术来检测威胁。”
日益严重的网络威胁
近年来,针对国防承包商和供应商的活动不断增多,STEEP#MAVERICK 活动只是其中最新的一个。其中许多活动都涉及来自中国、俄罗斯、朝鲜和其他国家的国家支持的参与者。
例如,一月份,美国网络安全和基础设施安全局 (CISA) 发出警报,称俄罗斯国家资助的行为者针对所谓的经过许可的国防承包商 (CDC) 发起了旨在攻击的攻击。 窃取敏感的美国国防信息和技术。 CISA 警报称,这些攻击针对的是广泛的 CDC,包括那些参与作战系统开发、情报和监视技术、武器和导弹开发以及战车和飞机设计的机构。
今年 2 月,Palo Alto Networks 的研究人员报告称,至少四家美国国防承包商成为了一场分发广告活动的目标。 名为 SockDetour 的无文件、无套接字后门。这些攻击是该安全供应商与国家安全局于 2021 年共同调查的更广泛活动的一部分,该活动涉及一个中国高级持久组织,该组织 目标国防承包商 以及多个其他部门的组织。
国防承包商:弱势群体
尽管拥有应严密保守的秘密,但许多国防承包商的相对脆弱性加剧了人们对网络攻击数量不断增加的担忧。
Black Kite 最近对美国 100 强国防承包商的安全实践进行的研究表明,近三分之一 (32%) 容易受到勒索软件攻击。这是因为凭据泄露或泄露等因素,以及凭据管理、应用程序安全和安全套接字层/传输层安全等领域的实践薄弱。
Black Kite 报告中 72% 的受访者至少经历过一次涉及凭据泄露的事件。
隧道尽头可能会出现曙光:美国国防部与行业利益相关者合作,开发了一套网络安全最佳实践,供军事承包商用来保护敏感数据。根据国防部的网络安全成熟度模型认证计划,国防承包商必须实施这些实践 - 并获得拥有这些实践的认证 - 才能向政府出售产品。坏消息?该计划的推出 已被推迟.
