La semana pasada, la principal Dirección de Inteligencia (GUR) de Ucrania orquestó un sofisticado ciberataque contra Gaskar Integration, un fabricante líder de drones rusos.
La operación comenzó con el reconocimiento de la infraestructura pública de la compañía, donde los actores de amenaza identificaron servicios de escritorio remotos vulnerables y puertas de enlace VPN obsoletas.
Aprovechando un día cero en un firewall de aplicación web de terceros, los atacantes obtuvieron una posición inicial dentro de la red corporativa. Una vez dentro, implementaron malware personalizado que explotó la instrumentación de administración de Windows (WMI) para ejecutar el movimiento lateral y las credenciales de cosecha.
Analistas de Hromadske anotado que la carga útil maliciosa incorporó un cargador de doble etapa escrito en C ++ y PowerShell.
La primera etapa estableció la persistencia a través de una suscripción maliciosa de WMI, mientras que la segunda etapa descifró un implante de caparazón inversa en la memoria.
Las comunicaciones se tunelaron a través de TLS utilizando certificados forjados que imitaban la infraestructura de clave pública de la compañía.
La infraestructura de comando y control del malware (C2) se alojó en servidores de sistemas de control industrial comprometidos, lo que complica aún más los esfuerzos de atribución y eliminación.
Cuando los defensores detectaron el tráfico de red anómalos, los atacantes habían exfiltrado más de 47 TB de datos técnicos, incluidos los esquemas de diseño de drones, los registros de producción y los registros de los empleados.
Todas las copias de copia de seguridad en los servidores de la víctima fueron eliminadas irreversiblemente, paralizando efectivamente las operaciones de fabricación y contabilidad de Gaskar.
Los trabajadores fueron bloqueados fuera del software de producción y los sistemas de acceso físico, con solo las salidas de incendios que quedan funcionales.
Los investigadores de Hromadske identificaron módulos clave del implante mediante la ingeniería inversa de su desempaquetador.
Mecanismo de infección
El mecanismo de infección del malware dependía de la explotación de un bypass de WAF. Después de obtener acceso, los atacantes cargaron un pequeño cuentagotas, menos de 15 kb, que ejecutó una línea de una línea PowerShell codificada por Base64.
Este script contactó a un dominio C2 codificado, descargó una carga útil cifrada y la invocó por completo en la memoria para evadir la detección basada en disco.
El filtro de eventos WMI persistente se elaboró de la siguiente manera:-
$ filtre = set -wmiinstance -namespace root \ suscription -class __eventFilter `-arguments @{name =” sysupdateFilter “eventnamespace =” root \ cimv2 “QueryLanguage =” wql “consulta =” seleccionar * de __instancemodificationEvent dentro de 60 Donde 60 Where TargetInstance está A ‘Win32_local. Set -wmiinstance -namespace root \ suscripción -class __filterToconsumerbinding `-arguments @{filter = $ filtro consumidor = $ consumidor}
Esto garantiza la ejecución en cada marca de reloj del sistema, otorgando al implante una alta capacidad de supervivencia incluso después del reinicio.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
