针对军事承包商的新秘密攻击活动

高度针对性的入侵，被 Securonix 称为STEEP#MAVERICK，还针对 F-35 Lightning II 战斗机的战略供应商。

袭击始于 2022 年夏末，针对至少两家知名军事承包商公司。

感染链从带有 ZIP 存档附件的网络钓鱼邮件开始，该附件包含一个快捷方式文件，该文件声称是有关“公司与福利”的 PDF 文档，然后用于检索 stager——用于下载所需恶意软件的初始二进制文件-- 来自远程服务器。

当最终的 PowerShell 脚本执行托管在名为“terma[.]app”的服务器上的远程有效负载“header.png”时，此 PowerShell stager 为“强大的 stager 链”奠定了基础，该链将通过七个步骤进行。

研究人员解释说：虽然我们能够下载并分析 header.png 文件，但我们无法对其进行解码，因为我们认为该活动已经完成，我们的理论是该文件已被替换以防止进一步分析。

我们解码有效载荷的尝试只会产生垃圾数据。

作案手法值得注意的是，除了扫描是否存在调试软件并在系统语言设置为中文或俄语时停止执行之外，还包含旨在阻止分析的混淆代码。

该恶意软件还旨在验证物理内存的数量，如果它小于 4GB，则会再次终止自身。还包括对虚拟化基础架构的检查，以确定恶意软件是在分析环境还是沙箱中执行。

但如果此测试失败，恶意软件不会简单地退出执行，而是禁用系统网络适配器，重新配置 Windows 防火墙以阻止所有入站和出站流量，递归删除所有驱动器中的数据，并关闭计算机。

如果所有这些检查都通过，PowerShell stager 会继续禁用日志记录，为 LNK、RAR 和 EXE 文件添加 Windows Defender 排除项，并通过计划任务或 Windows 注册表修改建立持久性。

研究人员指出：总的来说，很明显，这种攻击相对复杂，恶意攻击者特别关注 opsec。

虽然这是一次非常有针对性的攻击，但所使用的战术和技术是众所周知的，保持警惕很重要。

博客全文阅读地址：

https://www.securonix.com/blog/detecting-steepmaverick-new-covert-attack-campaign-targeting-military-contractors/