Una nueva campaña de ataque encubierto seleccionó a varias empresas militares y contratistas de armas con correos electrónicos de phishing para desencadenar un proceso de infección de varias etapas diseñado para implementar una carga útil desconocida en las máquinas comprometidas.
Las intrusiones altamente dirigidas, denominadas STEEP#MAVERICK por Securonix, también apuntó a un proveedor estratégico del avión de combate F-35 Lightning II.
«El ataque se llevó a cabo a fines del verano de 2022 y tuvo como objetivo al menos dos empresas contratistas militares de alto perfil», Den Iuzvyk, Tim Peck y Oleg Kolesnikov. dijo en un análisis.
Las cadenas de infección comienzan con un correo de phishing con un archivo ZIP adjunto que contiene un archivo de acceso directo que afirma ser un documento PDF sobre «Compañía y beneficios», que luego se usa para recuperar un stager, un binario inicial que se usa para descargar el malware deseado. — desde un servidor remoto.
Esta etapa de PowerShell prepara el escenario para una «cadena robusta de etapas» que progresa a través de siete pasos más, cuando el script final de PowerShell ejecuta una carga útil remota «header.png» alojada en un servidor llamado «terma[.]aplicación».
«Si bien pudimos descargar y analizar el archivo header.png, no pudimos decodificarlo porque creemos que la campaña se completó y nuestra teoría es que el archivo se reemplazó para evitar más análisis», explicaron los investigadores.
«Nuestros intentos de decodificar la carga útil solo producirían datos basura».
Lo notable del modus operandi es la incorporación de código ofuscado diseñado para frustrar el análisis, además de buscar la presencia de software de depuración y detener la ejecución si el idioma del sistema está configurado en chino o ruso.
El malware también está diseñado para verificar la cantidad de memoria física y, una vez más, terminar si tiene menos de 4 GB. También se incluye un controlar para la infraestructura de virtualización para determinar si el malware se está ejecutando en un entorno de análisis o sandbox.
Pero si esta prueba falla, en lugar de simplemente detener la ejecución, el malware desactiva los adaptadores de red del sistema, reconfigura el Firewall de Windows para bloquear todo el tráfico entrante y saliente, elimina recursivamente los datos en todas las unidades y apaga la computadora.
Si se superan todas estas comprobaciones, PowerShell Stager procede a deshabilitar el registro, agrega exclusiones de Windows Defender para archivos LNK, RAR y EXE, y establece la persistencia a través de una tarea programada o modificaciones del Registro de Windows.
«En general, está claro que este ataque fue relativamente sofisticado y el actor de amenazas maliciosas prestó atención específica a opsec», señalaron los investigadores. «Si bien este fue un ataque muy específico, las tácticas y técnicas utilizadas son bien conocidas y es importante mantenerse alerta».