Atacantes tentam se infiltrar em empreiteiros militares dos EUA por meio de phishing
Pesquisadores observaram uma campanha de ataque visando vários empreiteiros militares envolvidos na fabricação de armas. Uma delas é fornecedora de componentes de aeronaves de combate F-35 Lightning II.
A campanha de ataque
A Securonix detectou os ataques altamente direcionados e descobriu que envolviam o envio de e-mails de phishing para funcionários que levavam à infecção em vários estágios. O ataque, além disso, envolveu vários mecanismos de persistência e prevenção de detecção.
- O ataque começa com um e-mail de phishing com anexos ZIP carregados de arquivos de atalho. Esse arquivo se conecta ao C2 e executa uma cadeia de scripts do PowerShell para infectar o sistema com malware.
- O arquivo de atalho não usa ferramentas ‘cmd[.]exe’ ou ‘powershell[.]exe’ comumente abusadas. Em vez disso, ele usa um comando incomum ‘C:\Windows\System32\ForFiles[.]exe para executar comandos.
Além disso, os pesquisadores puderam traçar semelhanças entre a campanha em andamento com as campanhas de ataque anteriores do APT37 (Konni), mas não conseguiram vincular a campanha a nenhum grupo de ameaças conhecido com confiança.
Ofuscação e evitar sandboxes
A campanha usa infraestrutura C2 segura e várias camadas de ofuscação nos estágios do PowerShell.
- As técnicas de ofuscação incluem ofuscação IEX, ofuscação de reordenação/símbolo, compactação bruta, ofuscação de valor de byte, ofuscação de backtick, reordenação e substituição de string.
- Além disso, para evitar sandboxes, um script é usado para verificar uma lista de processos associados ao software de monitoramento/depuração e verifica se a altura da tela está acima de 777 pixels e a memória está acima de 4 GB.
Domínios usados
Os domínios utilizados para a infraestrutura C2 foram registrados em julho e hospedados na DigitalOcean.
- Mais tarde, os invasores transferiram seus domínios para a Cloudflare para aproveitar a CDN e os serviços de segurança, como bloqueio geográfico, mascaramento de endereço IP e criptografia TLS/HTTPS.
- Alguns dos domínios C2 incluem terma[.]wiki, terma[.]dev, terma[.]ink e terma[.]app.
Conclusão
A campanha recente parece ser operada por um agente de ameaças sofisticado que é bem versado nos truques de permanecer oculto. Sugere-se às organizações que se mantenham vigilantes e cientes das técnicas utilizadas. Além disso, sugere-se adotar uma postura de segurança colaborativa e baseada em compartilhamento de inteligência de ameaças para permanecer protegido contra essas ameaças.
Fonte: https://cyware.com/
