Potansiyel olarak siber casusluğa yönelen bir siber saldırı kampanyası, ABD’deki ve başka yerlerdeki savunma müteahhitlerini hedef alan siber tehditlerin giderek daha karmaşık hale gelen doğasını vurguluyor.
Securonix’teki araştırmacıların STEEP#MAVERICK olarak tespit ettiği ve takip ettiği gizli kampanya, son aylarda Avrupa’da, ABD F-35 Lightning II savaş uçağı programının potansiyel bir tedarikçisi de dahil olmak üzere çok sayıda silah yüklenicisini vurdu.
Güvenlik sağlayıcısına göre kampanyayı dikkate değer kılan şey, saldırganın operasyon güvenliğine (OpSec) ve kötü amaçlı yazılımlarının tespit edilmesinin zor, kaldırılmasının zor ve analiz edilmesinin zor olduğundan emin olmak için gösterdiği genel dikkattir.
Saldırılarda kullanılan PowerShell tabanlı kötü amaçlı yazılım hazırlayıcı, “bir dizi ilginç taktik içeriyorduSecuronix bu haftaki bir raporda, kalıcılık metodolojisi, adli tıpla mücadele ve kodunu gizlemek için gizleme katmanları üzerine katmanlar dedi.
Yaygın Olmayan Kötü Amaçlı Yazılım Özellikleri
STEEP#MAVERICK kampanyası, Avrupa’daki iki yüksek profilli savunma müteahhitine yönelik saldırılarla yaz sonunda başlamış gibi görünüyor. Birçok kampanyada olduğu gibi, saldırı zinciri de şirket avantajlarını açıklayan bir PDF belgesine kısayol (.lnk) dosyası içeren sıkıştırılmış (.zip) bir dosya içeren bir hedef odaklı kimlik avı e-postasıyla başladı. Securonix, kimlik avı e-postasını bu yılın başlarında bir kampanyada karşılaştığı e-postaya benzer olarak nitelendirdi. Kuzey Kore’nin APT37 (aka Konni) tehdit grubu.
.lnk dosyası yürütüldüğünde, Securonix’in her biri PowerShell’de yazılmış ve sekiz adede kadar gizleme katmanı içeren “oldukça büyük ve sağlam bir aşama zinciri” olarak tanımladığı şeyi tetikler. Kötü amaçlı yazılım ayrıca, kötü niyetli davranışları aramak için kullanılabilecek uzun bir süreç listesinin izlenmesini içeren kapsamlı adli tıp önleme ve karşı hata ayıklama özelliklerine de sahiptir. Kötü amaçlı yazılım, günlüğe kaydetmeyi devre dışı bırakmak ve Windows Defender’ı atlamak için tasarlanmıştır. Kendisini sistem kayıt defterine gömmek, kendisini zamanlanmış bir görev olarak gömmek ve sistemde bir başlangıç kısayolu oluşturmak dahil olmak üzere bir sistemde kalıcı olmak için çeşitli teknikler kullanır.
Securonix’in Tehdit Araştırma Ekibinden bir sözcü, kötü amaçlı yazılımın sahip olduğu anti-analiz ve anti-izleme kontrollerinin sayısının ve çeşitliliğinin olağandışı olduğunu söylüyor. Aynı şekilde, yükler için çok sayıda gizleme katmanı ve kötü amaçlı yazılımın analiz girişimlerine yanıt olarak yeni özel komut ve kontrol (C2) aşamalı yüklerini değiştirme veya oluşturma girişimleri de öyle: “PowerShell get- gerçekleştirmek için takma ad [the invoke-expression cmdlet] çok nadir görülür.”
Kötü amaçlı faaliyetler, saldırı boyunca farklı türde anti-analiz kontrolleri ve kaçınma girişimleriyle OpSec’ten haberdar bir şekilde, enjekte edilen özel yüklerle nispeten yüksek bir operasyonel tempoda gerçekleştirildi.
Sözcü, “Saldırının ayrıntılarına dayanarak, diğer kuruluşlar için bir paket, güvenlik araçlarınızı izlemeye ekstra dikkat ediyor” dedi. “Kuruluşlar, güvenlik araçlarının beklendiği gibi çalışmasını sağlamalı ve tehditleri tespit etmek için tek bir güvenlik aracına veya teknolojisine güvenmekten kaçınmalıdır.”
Büyüyen Siber Tehdit
STEEP#MAVERICK kampanyası, son yıllarda savunma müteahhitlerini ve tedarikçilerini hedef alan, sayıları giderek artan bir kampanyanın yalnızca sonuncusudur. Bu kampanyaların çoğu Çin, Rusya, Kuzey Kore ve diğer ülkelerde faaliyet gösteren devlet destekli aktörleri içeriyor.
Örneğin Ocak ayında, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), hassas ABD savunma bilgi ve teknolojisini çalmak için tasarlanmış saldırılarda sözde temizlenmiş savunma yüklenicilerini (CDC’ler) hedef alan Rus devlet destekli aktörlere karşı bir uyarı uyarısı yayınladı. CISA uyarısı, saldırıların savaş sistemleri, istihbarat ve gözetleme teknolojileri, silah ve füze geliştirme ve savaş aracı ve uçak tasarımı geliştirme dahil olmak üzere geniş bir CDC grubunu hedef aldığını belirtti.
Şubat ayında, Palo Alto Networks’teki araştırmacılar, en az dört ABD savunma müteahhitinin dağıtım kampanyasında hedef alındığını bildirdi. SockDetour adlı dosyasız, soketsiz bir arka kapı. Saldırılar, güvenlik sağlayıcısının 2021’de Ulusal Güvenlik Ajansı ile birlikte araştırdığı ve Çin’in gelişmiş kalıcı bir grubunu içeren daha geniş bir kampanyanın parçasıydı. hedeflenen savunma müteahhitleri ve diğer birçok sektörde kuruluşlar.
Savunma Müteahhitleri: Savunmasız Bir Bölüm
Siber saldırıların artan hacmiyle ilgili endişelere ek olarak, yakından korunması gereken sırlara sahip olmalarına rağmen birçok savunma müteahhitinin görece savunmasızlığı var.
Black Kite’ın en büyük 100 ABD savunma müteahhitinin güvenlik uygulamalarına yönelik yaptığı son araştırmalar, yaklaşık üçte birinin (%32) fidye yazılımı saldırılarına karşı savunmasız. Bunun nedeni, sızdırılmış veya güvenliği ihlal edilmiş kimlik bilgileri gibi faktörler ve kimlik bilgisi yönetimi, uygulama güvenliği ve Güvenlik Yuvası Katmanı/Aktarım Katmanı Güvenliği gibi alanlardaki zayıf uygulamalardır.
Black Kite raporuna katılanların yüzde yetmiş ikisi, sızdırılmış bir kimlik bilgisi içeren en az bir olay yaşadı.
Tünelin sonunda ışık olabilir: ABD Savunma Bakanlığı, endüstri paydaşlarıyla birlikte, askeri müteahhitlerin hassas verileri korumak için kullanmaları için bir dizi siber güvenlik en iyi uygulaması geliştirdi. Savunma Bakanlığı’nın Siber Güvenlik Olgunluk Modeli Sertifikasyon programı kapsamında, savunma müteahhitlerinin devlete satış yapabilmeleri için bu uygulamaları uygulaması ve bunlara sahip olduklarına dair sertifika almaları gerekmektedir. Kötü haber mi? Programın kullanıma sunulması ertelendi.