研究人员发现了针对军事承包商的隐蔽攻击行动

一个新的秘密袭击运动挑出了多个军事和武器承包商公司，他们用电子邮件来触发一个多级感染过程，目的是在受损的机器上部署一个未知的有效载荷。

被Securonix称为” STEEP #马弗里克”的高针对性入侵行动也针对F – 35闪电II战斗机的战略供应商。

 Den Iuzvyk、Tim Peck和Oleg科列斯尼科夫在一份分析报告中说，袭击从2022年夏末开始，目标是至少两家知名的军事承包商公司。

感染链从一个带有ZIP存档附件的钓鱼邮件开始，其中包含一个声称是关于”公司和利益”的PDF文档的快捷方式文件，然后用于从远程服务器检索一个Stager – -用于下载所需恶意软件的初始二进制文件。

当最终的PowerShell脚本执行远程有效载荷header . png驻留在一个名为terma [ . ] app的服务器上时，这个PowerShell stager为一个”健壮的stager链”设置了一个阶段，这个阶段再经过七个步骤。

研究人员解释说，虽然我们能够下载并分析header . png文件，但我们无法对其进行解码，因为我们认为该运动已经完成，我们的理论是该文件被替换，以防止进一步分析。

“我们试图解码有效载荷只会产生垃圾数据。”

在工作方式上值得注意的是，除了扫描调试软件的存在并在系统语言设置为中文或俄文时停止执行外，还加入了旨在阻止分析的模糊代码。

恶意软件的设计也是为了验证物理内存的数量，如果它小于4GB，就会再次终止。还包括对虚拟化基础设施的检查，以确定恶意软件是否正在分析环境或沙箱中执行。

但如果这个测试失败，而不是简单地退出执行，恶意软件禁用系统网络适配器，重新配置Windows防火墙以阻止所有入站和出站流量，递归删除所有驱动器中的数据，并关闭计算机。

如果所有这些检查都通过，PowerShell stager将继续禁用日志记录，为LNK、RAR和EXE文件添加Windows Defender排除，并通过计划任务或Windows注册表修改建立持久性。

研究人员指出，总体而言，这次袭击显然相对复杂，恶意威胁行为者特别关注OPSEC。虽然这是一个非常有针对性的攻击，但所使用的策略和技术是众所周知的，必须保持警惕。