Varios actores patrocinados por el Estado, entidades hacktivistas y grupos criminales de China, Irán, Corea del Ideal y Rusia han puesto sus miras en el sector de la pulvínulo industrial de defensa (DIB), según las conclusiones de Google Threat Intelligence Group (GTIG).
La división de inteligencia de amenazas del coloso tecnológico dijo que el ataque adversario al sector se centra en cuatro temas esencia: atacar a entidades de defensa que despliegan tecnologías en el campo de batalla en la cruzada entre Rusia y Ucrania, acercarse directamente a los empleados y explotar el proceso de contratación por parte de actores norcoreanos e iraníes, el uso de dispositivos y electrodomésticos de vanguardia como vías de llegada auténtico para los grupos del vinculo con China, y el aventura de la cautiverio de suministro derivado de la ruptura del sector manufacturero.
“Muchos de los principales patrocinadores estatales del ciberespionaje y los actores hacktivistas han mostrado interés en vehículos autónomos y drones, ya que estas plataformas desempeñan un papel cada vez más importante en la cruzada moderna”, dijo GTIG. “Por otra parte, la tendencia de ‘esparcimiento de detección’ (…) continúa, ya que los actores se centran en puntos finales e individuos únicos, o llevan a punta intrusiones de una modo que búsqueda evitar por completo las herramientas de detección y respuesta de puntos finales (EDR)”.
Algunos de los actores de amenazas notables que han participado en la actividad incluyen:
- APT44 (asimismo conocido como insignificante de arena) ha intentado exfiltrar información de las aplicaciones de correo cifrada Telegram y Signal, probablemente luego de sostener el llegada físico a dispositivos obtenidos durante operaciones en tierra en Ucrania. Esto incluye el uso de un script por lotes de Windows llamado WAVESIGN para descifrar y filtrar datos de la aplicación de escritorio de Signal.
- TEMP.Alimañas (asimismo conocido como UAC-0020) ha utilizado malware como VERMONSTER, SPECTRUM (asimismo conocido como SPECTR) y FIRMACHAGENT utilizando contenido atractivo que expedición en torno a la producción y el ampliación de drones, sistemas de defensa anti-drones y sistemas de seguridad de videovigilancia.
- UNC5125 (asimismo conocido como FlyingYeti y UAC-0149) ha llevado a punta campañas muy específicas centradas en unidades de drones de primera ristra. Ha utilizado un cuestionario alojado en Google Forms para realizar reconocimientos contra posibles operadores de drones y distribuido a través de aplicaciones de correo malware como MESSYFORK (asimismo conocido como COOKBOX) a un cámara de vehículos aéreos no tripulados (UAV) con sede en Ucrania.
- UNC5125 Todavía se dice que aprovechó un malware de Android llamado GREYBATTLE, una interpretación personalizada del troyano bancario Hydra, para robar credenciales y datos distribuyéndolos a través de un sitio web que suplanta a una empresa marcial de inteligencia químico ucraniana.
- UNC5792 (asimismo conocido como UAC-0195) ha explotado aplicaciones de correo segura para apuntar a entidades militares y gubernamentales de Ucrania, así como a individuos y organizaciones en Moldavia, Georgia, Francia y Estados Unidos. El actor de amenazas se destaca por utilizar como arsenal la función de vinculación de dispositivos de Signal para secuestrar cuentas de víctimas.
- UNC4221 (asimismo conocido como UAC-0185) Todavía ha inscrito a aplicaciones de correo segura utilizadas por personal marcial ucraniano, utilizando tácticas similares a la UNC5792. El actor de amenazas asimismo aprovechó un malware de Android llamado STALECOOKIE que imita la plataforma de mandato del campo de batalla de Ucrania DELTA para robar cookies del navegador. Otra táctica empleada por el especie es el uso de ClickFix para entregar el descargador TINYWHALE que, a su vez, elimina el software de sucursal remota MeshAgent.
- UNC5976un especie de espionaje ruso que ha llevado a punta una campaña de phishing entregando archivos de conexión RDP maliciosos que están configurados para comunicarse con dominios controlados por actores que imitan a una empresa de telecomunicaciones ucraniana.
- UNC6096un especie de espionaje ruso que ha realizado operaciones de entrega de malware a través de WhatsApp utilizando temas relacionados con DELTA para entregar un llegada directo LNK astuto adentro de un archivo que descarga una carga útil secundaria. Se ha descubierto que los ataques dirigidos a dispositivos Android generan malware llamado GALLGRAB que recopila archivos almacenados localmente, información de contacto y datos de heredero potencialmente cifrados de aplicaciones especializadas en el campo de batalla.
- UNC5114un supuesto especie de espionaje ruso que ha entregado una modificación de un malware apto para Android llamado CraxsRAT haciéndose advenir por una puesta al día de Kropyva, un sistema de control de combate utilizado en Ucrania.
- APT45 (asimismo conocido como Andariel) se ha dirigido a entidades de fabricación de automóviles, semiconductores y defensa de Corea del Sur con el malware SmallTiger.
- APT43 (asimismo conocido como Kimsuky) Es probable que haya explotado la infraestructura que imita a las entidades relacionadas con la defensa alemanas y estadounidenses para implementar una puerta trasera señal THINWAVE.
- UNC2970 (asimismo conocido como Rama Lázaro) ha llevado a punta la campaña Operación Dream Job dirigida a los sectores aeroespacial, de defensa y energético, encima de tener fe en herramientas de inteligencia químico (IA) para realizar reconocimientos de sus objetivos.
- UNC1549 (asimismo conocido como Nimbus Mantícora) se ha dirigido a las industrias aeroespacial, de aviación y de defensa en Medio Oriente con familias de malware como MINIBIKE, TWOSTROKE, DEEPROOT y CRASHPAD. Se sabe que el especie organiza campañas Dream Job al estilo del Rama Lazarus para engañar a los usuarios para que ejecuten malware o entreguen credenciales con el pretexto de oportunidades de empleo legítimas.
- UNC6446un actor de amenazas del vinculo iraní que ha utilizado aplicaciones de creación de currículums y pruebas de personalidad para distribuir malware personalizado a objetivos en el sector aeroespacial y de defensa en los EE. UU. y Medio Oriente.
- APT5 (asimismo conocido como Keyhole Panda y Mulberry Typhoon) se ha dirigido a empleados actuales y anteriores de importantes contratistas aeroespaciales y de defensa con señuelos de phishing personalizados.
- UNC3236 (asimismo conocido como Volt Typhoon) ha llevado a punta actividades de gratitud contra portales de inicio de sesión alojados públicamente de contratistas militares y de defensa de América del Ideal, mientras utiliza el ámbito de ofuscación ARCMAZE para ocultar su origen.
- UNC6508un especie de amenazas del vinculo con China que apuntó a una institución de investigación con sede en EE. UU. a finales de 2023 al beneficiarse un exploit REDCap para propalar un malware personalizado llamado INFINITERED que es capaz de realizar llegada remoto persistente y robar credenciales luego de interceptar el proceso de puesta al día de software de la aplicación.
Por otra parte, Google dijo que asimismo ha observado que grupos de amenazas del vinculo con China utilizan redes de cajas de retransmisión operativas (ORB) para el gratitud de objetivos industriales de defensa, complicando así los esfuerzos de detección y atribución.
“Si admisiblemente los riesgos específicos varían según la huella geográfica y la especialización del subsector, la tendencia más amplia es clara: la pulvínulo industrial de defensa está bajo un estado de asedio constante y multivectorial”, dijo Google. “Los actores motivados financieramente llevan a punta perturbación contra este sector y la pulvínulo manufacturera más amplia, como muchos de los otros sectores verticales a los que apuntan para obtener ganancias monetarias”.
“Las campañas contra los contratistas de defensa en Ucrania, las amenazas o la explotación del personal de defensa, el prominencia persistente de intrusiones por parte de actores del vinculo con China y el pirateo, las filtraciones y la interrupción de la pulvínulo de fabricación son algunas de las principales amenazas a esta industria en la hogaño”.
