Las empresas del ámbito militar pueden suponer un caramelo para los ciberdelincuentes y se encuentran en el punto de mira de determinados grupos porque pueden tener acceso a información sensible muy valiosa.
Investigadores de seguridad han descubierto la existencia de una campaña enfocada en múltiples contratistas militares involucrados en la fabricación de armas. Entre ellos se encuentra un proveedor de componentes de aviones de combate F-35 Lightning II.
Según se hace eco el medio Bleeping Computer, los ataques se inician con un correo electrónico de phishing que se envía a los empleados de dichas empresas.
Si los trabajadores pican se inicia una infección de múltiples etapas que involucraría muchos sistemas de evasión de detección y persistencia.
El email incluye un archivo adjunto ZIP que contiene un archivo de acceso directo que, al ejecutarse, se conecta a la infraestructura C2 y lanza una cadena de secuencias de comandos de PowerShell que infectan el sistema con malware.
Los investigadores aseguran que solo hay una forma de que el malware salga sin causar ningún daño y es si el idioma del sistema está configurado en ruso o chino, curiosamente.
Los analistas determinaron que los dominios utilizados para la infraestructura C2 que respalda esta campaña se registraron en julio de 2022 y se alojaron en DigitalOcean.
Más tarde, los actores de amenazas trasladaron los dominios a Cloudflare para beneficiarse de sus servicios de seguridad y CDN, incluido el enmascaramiento de direcciones IP, el bloqueo geográfico y el cifrado HTTPS/TLS.
Los autores no están claros
Aunque los analistas de Securonixdiscover han descubierto los ataques, no tienen la suficiente información como para atribuírselos a ningún actor de amenazas conocido.
No obstante, los expertos han encontrado algunos elementos parecidos y semejanzas con los ataques anteriores del grupo de amenazas persistentes APT37 (o Konni).
"En general, esta campaña parece el trabajo de un actor de amenazas sofisticado que sabe cómo pasar desapercibido", señalan desde Bleeping Computer.