El acuerdo de $ 14.75 millones de Hill ASC Inc. con el Departamento de Justicia de los Estados Unidos cierra una saga de cinco años en la que el contratista con sede en Rockville supuestamente anunció a las agencias por el apoyo de ciberseguridad “altamente adaptativo” que nunca fue calificado para entregar.
Los investigadores dicen que el lanzamiento de Hill dependió de una plataforma de monitoreo de punto final a medida que sembró silenciosamente a un cargador, apodado “Shadowquill”, en enclaves federales, prometiendo una rápida caza de amenazas mientras en realidad canalizaba el tráfico a una infraestructura de terceros.
Shadowquill apareció a mediados de 2011 cuando las anomalías de precios de aumento desencadenaron una auditoría interna del Tesoro. Las capturas de paquetes revelaron balizas TLS disfrazadas de verificaciones de revocación de certificados, lo que permite que el cargador recupere las cargas útiles de PowerShell cifradas de Github Gists.
Analistas de la Oficina de Asuntos Públicos anotado El patrón se hizo eco de tácticas previamente vinculadas al grupo Silentlibra, que correlacionó los picos de factura de Hill con estallidos de comando y control durante los ciclos de parche trimestrales.
En la práctica, el malware explotó los permisos de programador de confianza horneados en la cadena de herramientas de asistencia remota del contratista. Una vez invocado, evitó la prevención de intrusos basada en el huésped al reflejar las páginas de memoria de DLL ya firmadas por proveedores legítimos, dejando a los escáneres de firma convencionales ciegos.
El impacto se extendió más allá de los cargos laborales inflados; Los forenses de la red sugieren que al menos veinte repositorios internos fueron raspados para el código fuente relacionado con el análisis de datos de los contribuyentes, lo que provocó una rotación de credencial de agencia cruzada urgente a fines de 2023.
Si bien el acuerdo de la Ley de Reclamaciones Falsas se convierte en facturas fraudulentas en lugar del robo de datos, los funcionarios del Departamento de Justicia enfatizan que los implantes de proveedores sin control pueden magnificar los desechos fiscales en la exposición sistémica.
La capacidad de pago de cálculo limitó las sanciones, sin embargo, Hill también debe implementar un acuerdo de cumplimiento de varios años y financiar la validación de equipo azul de terceros.
Evasión de detección a través de la ejecución de proxy binaria firmada
La persistencia de Shadowquill se apoyó en la ejecución de proxy binaria firmada, invocando el legítimo “msiexec.exe” para que se vaya a su dll reflectante sin tropezar con la bladeo de aplicaciones.
El cargador almacena su carga útil en los filtros WMI del registro, activando los eventos de tiempo de actividad del sistema, por lo que los ciclos de reinicio no pueden limpiar la infección.
Los analistas encontraron que la entropía de tiempo de ejecución se cernía cerca de 7.2, justo debajo de muchos umbrales heurísticos, lo que le permitió disfrazarse de manchas de telemetría comprimidas.
# Heuristic de estilo Yara para la regla de Shadowquill Shadowquill_ProxyExec {Strings: $ s1 = {4d 53 49 45 58 45 43} // “msiexec” $ s2 = “registro :: create (‘root \\ suscripción’)” Nocase $ s3 = /https:\/\/raw\.githubusercontent\.com\/.*\/.*\/payload.ps1/ condición: uint16 (0) == 0x5a4d y todo ($ s*)}
Implementar la regla contra las instantáneas de memoria en vivo identificó 37 puntos finales comprometidos dentro de los rangos de prueba GSA, lo que subraya cómo las pequeñas desviaciones en las líneas de base de comportamiento pueden exponer un fraude sofisticado de la cadena de suministro dentro de los contratos de TI de rutina aparentemente de rutina.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
