Una nueva campa\u00f1a de ataque encubierto seleccion\u00f3 a varias empresas militares y contratistas de armas con correos electr\u00f3nicos de phishing para desencadenar un proceso de infecci\u00f3n de varias etapas dise\u00f1ado para implementar una carga \u00fatil desconocida en las m\u00e1quinas comprometidas.<\/p>\n
Las intrusiones altamente dirigidas, denominadas STEEP#MAVERICK<\/strong> por Securonix, tambi\u00e9n apunt\u00f3 a un proveedor estrat\u00e9gico del avi\u00f3n de combate F-35 Lightning II.<\/p>\n “El ataque se llev\u00f3 a cabo a fines del verano de 2022 y tuvo como objetivo al menos dos empresas contratistas militares de alto perfil”, Den Iuzvyk, Tim Peck y Oleg Kolesnikov. dijo<\/a> en un an\u00e1lisis.<\/p>\n Las cadenas de infecci\u00f3n comienzan con un correo de phishing con un archivo ZIP adjunto que contiene un archivo de acceso directo que afirma ser un documento PDF sobre “Compa\u00f1\u00eda y beneficios”, que luego se usa para recuperar un stager, un binario inicial que se usa para descargar el malware deseado. — desde un servidor remoto.<\/p>\n Esta etapa de PowerShell prepara el escenario para una “cadena robusta de etapas” que progresa a trav\u00e9s de siete pasos m\u00e1s, cuando el script final de PowerShell ejecuta una carga \u00fatil remota “header.png” alojada en un servidor llamado “terma[.]aplicaci\u00f3n”.<\/p>\n “Si bien pudimos descargar y analizar el archivo header.png, no pudimos decodificarlo porque creemos que la campa\u00f1a se complet\u00f3 y nuestra teor\u00eda es que el archivo se reemplaz\u00f3 para evitar m\u00e1s an\u00e1lisis”, explicaron los investigadores.<\/p>\n “Nuestros intentos de decodificar la carga \u00fatil solo producir\u00edan datos basura”.<\/p>\n Lo notable del modus operandi es la incorporaci\u00f3n de c\u00f3digo ofuscado dise\u00f1ado para frustrar el an\u00e1lisis, adem\u00e1s de buscar la presencia de software de depuraci\u00f3n y detener la ejecuci\u00f3n si el idioma del sistema est\u00e1 configurado en chino o ruso.<\/p>\n El malware tambi\u00e9n est\u00e1 dise\u00f1ado para verificar la cantidad de memoria f\u00edsica y, una vez m\u00e1s, terminar si tiene menos de 4 GB. Tambi\u00e9n se incluye un controlar<\/a> para la infraestructura de virtualizaci\u00f3n para determinar si el malware se est\u00e1 ejecutando en un entorno de an\u00e1lisis o sandbox.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/09\/Investigadores-descubren-campana-de-ataque-encubierto-dirigida-a-contratistas-militares.png\")
<\/a><\/div>\n![\"Ataque](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/09\/1664475455_496_Investigadores-descubren-campana-de-ataque-encubierto-dirigida-a-contratistas-militares.jpg\" "\\"Ataque")
<\/div>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/09\/1664475455_576_Investigadores-descubren-campana-de-ataque-encubierto-dirigida-a-contratistas-militares.png\")
<\/a><\/div>\n