Atacantes tentam se infiltrar em empreiteiros militares dos EUA por meio de phishing

A campanha de ataque

A Securonix detectou os ataques altamente direcionados e descobriu que envolviam o envio de e-mails de phishing para funcionários que levavam à infecção em vários estágios. O ataque, além disso, envolveu vários mecanismos de persistência e prevenção de detecção.

• O ataque começa com um e-mail de phishing com anexos ZIP carregados de arquivos de atalho. Esse arquivo se conecta ao C2 e executa uma cadeia de scripts do PowerShell para infectar o sistema com malware.
• O arquivo de atalho não usa ferramentas ‘cmd[.]exe’ ou ‘powershell[.]exe’ comumente abusadas. Em vez disso, ele usa um comando incomum ‘C:\Windows\System32\ForFiles[.]exe para executar comandos.

Além disso, os pesquisadores puderam traçar semelhanças entre a campanha em andamento com as campanhas de ataque anteriores do APT37 (Konni), mas não conseguiram vincular a campanha a nenhum grupo de ameaças conhecido com confiança.

Ofuscação e evitar sandboxes

A campanha usa infraestrutura C2 segura e várias camadas de ofuscação nos estágios do PowerShell. 

• As técnicas de ofuscação incluem ofuscação IEX, ofuscação de reordenação/símbolo, compactação bruta, ofuscação de valor de byte, ofuscação de backtick, reordenação e substituição de string.
• Além disso, para evitar sandboxes, um script é usado para verificar uma lista de processos associados ao software de monitoramento/depuração e verifica se a altura da tela está acima de 777 pixels e a memória está acima de 4 GB.

Domínios usados

Os domínios utilizados para a infraestrutura C2 foram registrados em julho e hospedados na DigitalOcean.

• Mais tarde, os invasores transferiram seus domínios para a Cloudflare para aproveitar a CDN e os serviços de segurança, como bloqueio geográfico, mascaramento de endereço IP e criptografia TLS/HTTPS.
• Alguns dos domínios C2 incluem terma[.]wiki, terma[.]dev, terma[.]ink e terma[.]app.

Conclusão

A campanha recente parece ser operada por um agente de ameaças sofisticado que é bem versado nos truques de permanecer oculto. Sugere-se às organizações que se mantenham vigilantes e cientes das técnicas utilizadas. Além disso, sugere-se adotar uma postura de segurança colaborativa e baseada em compartilhamento de inteligência de ameaças para permanecer protegido contra essas ameaças.

Fonte: https://cyware.com/