Los investigadores de ciberseguridad están dirigiendo su atención a sofisticadas campañas de ingeniería social dirigidas a fabricantes que critican las cadenas de suministro con malware de memoria llamado conchas mixtas.
Esta actividad se denomina tirolesa por la investigación del punto de control.
«En lugar de enviar correos electrónicos de phishing no solicitados, el atacante comenzará a contactarlos a través del formulario público de ‘contacto’ de la compañía y engañar a los empleados para que comiencen una conversación», dijo en un comunicado compartido con Hacker News. «Las siguientes semanas de intercambios profesionales y confiables a menudo se sellan con NDA falsos, y luego entregan archivos zip armados que llevan el caparazón mixto, malware sigiloso en memoria».
Los ataques arrojan una amplia red a través de múltiples organizaciones en sectores y ubicaciones geográficas, pero se centran en las entidades estadounidenses. Los objetivos clave incluyen empresas de fabricación industrial, que incluyen maquinaria, metalurgia, producción de componentes, sistemas de ingeniería y empresas relacionadas con hardware y semiconductores, bienes de consumo, biotecnología y productos farmacéuticos.
Este objetivo diverso pero enfocado ha aumentado la probabilidad de que los actores de amenaza detrás de la campaña estén siendo perfeccionados en sectores de la industria que son críticos para la cadena de suministro. Otros países dirigidos por Zipline incluyen Singapur, Japón y Suiza.
Actualmente, se desconoce la fuente y la motivación de la campaña, pero Check Point ha identificado las direcciones IP previamente identificadas utilizadas en ataques e infraestructura, así como las utilizadas por ZScaler y Proofpoint como adoptadas en los ataques de carga de reenvío empleados por grupos de amenazas llamados Unk_Greensec.
Zipline es otro ejemplo de actores de amenaza que cobran cada vez más a los bancos por los flujos de trabajo de negocios legales, como acercarse a los objetivos a través de formularios de contacto de la compañía en sus sitios web y armarse la confianza en el proceso para evitar posibles preocupaciones.
El enfoque para usar los formularios de contacto del sitio web como vectores de distribución de malware no es del todo nuevo, pero si la tirolesa está separada, se trata de evitar tácticas aterradoras y lenguajes urgentes y derrotar al destinatario para obtener acciones no deseadas.
Esta técnica de ingeniería social basada en el paciente implica involucrar a las víctimas en una conversación de varias semanas. En algunos casos, incluso los dirigen a firmar un acuerdo de no divulgación (NDA) antes de enviar un archivo zip atrapado en un booby. La reciente ola de ingeniería social también ha explotado las tendencias en las transformaciones de inteligencia artificial (IA), y los atacantes «proporcionan» para ayudar a las entidades objetivo a implementar nuevas iniciativas centradas en la IA para reducir los costos y mejorar la eficiencia.
La cadena de ataque se caracteriza por cargas útiles de varias etapas, ejecución en memoria y canales de comando y control (C2) basados en DNS, lo que permite a los actores de amenaza permanecer bajo el radar.
Específicamente, el archivo ZIP está equipado con un atajo de Windows (LNK) que desencadena el cargador PowerShell. Esto abre la ruta de los implantes de mixshell en memoria personalizados utilizando túneles DNS y HTTP como un mecanismo C2 respirado para admitir la ejecución remota de comandos, manipulación de archivos y operaciones de red inversa.
MixShell también se incluye en la variante PowerShell, que incorpora técnicas avanzadas de evitación no de desarrollo y evitación de sandbox, que utiliza tareas programadas para persistencia y deja la funcionalidad de descarga de proxy inversa y descarga de archivos.
Los archivos con cremallera maliciosos se alojan en un subdominio de Herokuapp (.) Com. Es una plataforma legítima como el servicio (PAAS) que proporciona una infraestructura de informática y almacenamiento para alojar aplicaciones web.
El archivo LNK responsable de iniciar la cadena de ejecución también muestra documentos de señuelo presentes en el archivo ZIP para evitar despertar a la sospecha de víctima. Dicho esto, Check Point señaló que todos los archivos zip proporcionados por el dominio Heroku son maliciosos y sugieren una entrega personalizada en tiempo real en función de ciertos criterios.
«En muchos casos, los atacantes han registrado ubicaciones estadounidenses que usan dominios que coinciden con el nombre de LLCS, y en algunos casos pueden haber pertenecido previamente a un negocio legal», dijo Check Point. «Los atacantes mantienen un sitio web de plantilla similar a todas estas compañías, lo que sugiere una campaña simplificada planificada a escala».
La campaña plantea graves riesgos para las empresas, ya que puede conducir al robo de bienes intelectuales y ataques de ransomware, comprometer correos electrónicos comerciales, adquisiciones de cuentas que conducen a fraude económico y una posible interrupción en la cadena de suministro debido al impacto de las cascadas.
«La campaña Zipline es una llamada de atención para todas las empresas que Phishing considera que es un enlace sospechoso para el correo electrónico», dijo Sergey Shakevich, gerente del grupo de inteligencia de amenazas de Checkpoint Research.
«Los atacantes están innovando más rápido que nunca, combinando psicología humana, canales de comunicación confiables y señuelos oportunos con temas de AI-AI. Para mantenerse seguras, las organizaciones deben adoptar la prevención, defensa impulsada por la IA y crear una cultura de vigilancia que trata cualquier interacción entrante como una amenaza potencial».
Source link
