Operación North Star: Resumen de nuestro último análisis


Superior Menace Research (ATR) de McAfee publicó hoy una investigación que revela información no descubierta previamente sobre cómo la Operación North Star evaluó a sus posibles víctimas y lanzó ataques contra organizaciones en Australia, India, Israel y Rusia, incluidos los contratistas de defensa con sede en India y Rusia.

La investigación inicial de McAfee sobre la Operación North Star reveló una campaña que usaba sitios de redes sociales, spearphishing y documentos armados para apuntar a los empleados que trabajan para organizaciones en el sector de defensa. Este análisis inicial se centró en los vectores de intrusión iniciales del adversario, las primeras etapas de cómo se instaló un implante y cómo interactuaba con el servidor de Comando y Regulate (C2).

Al profundizar su investigación sobre el funcionamiento interno del C2 de North Star, McAfee ATR ahora puede proporcionar una vista única no solo de la tecnología y tácticas que el adversario utilizó para ejecutar sigilosamente sus ataques, sino también del tipo de víctimas a las que se dirigió.

La última investigación sondeó la infraestructura de backend de la campaña para establecer una mayor perspectiva de cómo el adversario apuntó y evaluó a sus víctimas para la explotación continua, y cómo usó un implante previamente desconocido llamado Torisma para ejecutar esta explotación.

En última instancia, los hallazgos de McAfee brindan una visión única de una campaña de ciberespionaje persistente dirigida a personas de alto valor que poseen propiedad intelectual del sector de defensa de alto valor y otra información confidencial.

VECTORES E INFRAESTRUCTURA

La mayoría de los análisis de las campañas cibernéticas generalmente se basan en la disección del malware y la telemetría de las defensas cibernéticas que han entrado en contacto con esas campañas. El análisis de McAfee de la Operación North Star complementó estos elementos diseccionando la infraestructura C2 que operaba la campaña. Al hacerlo, obtuvimos una visión integral de sus operaciones que rara vez está disponible para los investigadores de amenazas.

Los atacantes a menudo envían muchos correos electrónicos de spearphishing a muchos objetivos potenciales en lugar de apuntar con precisión a las personas de mayor valor. Una vez que la víctima abre un mensaje y se infecta a sí mismo, el malware intentará explotar completamente su sistema. Pero este enfoque amplio y menos preciso de infectar a muchos es «ruidoso» en el sentido de que es possible que se identifique si estas infecciones ocurren a gran escala en una organización (y mucho menos en todo el mundo). Las ciberdefensas eventualmente podrán reconocerlo y detenerlo.

En el caso de la Operación North Star, los atacantes investigaron a sus víctimas objetivo específicas, desarrollaron contenido personalizado para atraerlos, los involucraron directamente a través de conversaciones por correo de LinkedIn y les enviaron archivos adjuntos sofisticados que los infectaron de una manera novedosa utilizando una táctica de inyección de plantillas.

La campaña utilizó contenido legítimo de contratación de empleo de los sitios web populares de contratistas de defensa de EE. UU. Para atraer a víctimas específicas a abrir archivos adjuntos de correo electrónico de spear phishing maliciosos. En particular, los atacantes comprometieron y utilizaron dominios world-wide-web legítimos alojados en los EE. UU. E Italia para albergar sus capacidades de comando y management. Estos dominios, por lo demás benignos, pertenecían a organizaciones en una amplia variedad de campos, desde un fabricante de indumentaria hasta una casa de subastas, una imprenta y una empresa de capacitación en TI.

El uso de estos dominios para realizar operaciones C2 probablemente les permitió eludir las medidas de seguridad de algunas organizaciones porque la mayoría de las organizaciones no bloquean los sitios world wide web de confianza.

El implante de primera etapa fue entregado por archivos DOTM que, una vez establecidos en el sistema de la víctima, recopilaron información sobre ese sistema, como información del disco, información de espacio libre en el disco, nombre de la computadora y nombre de usuario registrado e información del proceso. Luego, usaría un conjunto de lógica para evaluar los datos del sistema de la víctima enviados de vuelta por este implante inicial para determinar si se debe instalar un implante de segunda etapa llamado Torisma. Mientras tanto, funcionó para lograr sus objetivos mientras minimizaba el riesgo de detección y descubrimiento.

Flujo de proceso common y relación de componentes

Torisma es un implante de segunda etapa, desarrollado a medida y no descubierto anteriormente, que se centra en la monitorización especializada de los sistemas de víctimas de gran valor. Una vez instalado, ejecutaría shellcode personalizado y ejecutaría un conjunto personalizado de acciones según los perfiles de los sistemas de la víctima. Las acciones incluyeron monitoreo activo de los sistemas y ejecución de cargas útiles en base a eventos observados. Por ejemplo, supervisaría un aumento en la cantidad de unidades lógicas y sesiones de escritorio remoto (RDS).

Lo que está claro es que el objetivo de la campaña period establecer una campaña de espionaje persistente a largo plazo centrada en personas específicas en posesión de tecnología estratégicamente valiosa de países clave de todo el mundo.

VÍCTIMAS E IMPACTO

Los primeros análisis de McAfee sobre los mensajes de spearphishing de la Operación North Star se escribieron en coreano y exhibieron menciones de temas específicos de la política y la diplomacia de Corea del Sur. Pero nuestro último análisis de los archivos de registro C2 de North Star nos permitió identificar objetivos más allá de Corea del Sur:

  • Dos direcciones IP en dos espacios de direcciones de ISP israelíes
  • Direcciones IP en el espacio ISP australiano
  • Dirección IP en el espacio de direcciones del ISP ruso
  • Contratista de defensa con sede en India
  • Contratista de defensa ruso

Las tecnologías y tácticas de la campaña (la instalación de la recopilación de datos y los implantes de monitoreo del sistema) sugieren que el adversario está en condiciones de permanecer persistente, realizar vigilancia y exfiltrar datos confidenciales de las víctimas de su sector de defensa.

Las descripciones detalladas de funciones utilizadas para atraer a las víctimas y el uso selectivo del implante Torisma sugieren que los atacantes buscaban propiedad intelectual muy específica y otra información confidencial de proveedores de tecnología de defensa muy específicos. Las víctimas menos valiosas fueron dejadas de lado para ser monitoreadas en silencio durante un período prolongado hasta que se vuelven más valiosas.

VILLANOS E IMPLICACIONES

McAfee no puede atribuir de forma independiente Procedure North Star a un grupo de piratas informáticos en distinct. McAfee ha establecido que el código utilizado en los archivos adjuntos de spearphishing es casi idéntico al utilizado por una campaña Hidden Cobra de 2019 dirigida a empresas indias de defensa y aeroespaciales. Esto podría indicar que Hidden Cobra está detrás de la Operación North Star o que otro grupo está copiando la tecnología y tácticas conocidas y establecidas del grupo. Pero una atribución sólida y precisa requiere que el análisis técnico de tales ataques se complemente con información de fuentes de inteligencia tradicionales disponibles solo para agencias gubernamentales.

Los hallazgos de McAfee sugieren que los actores detrás de la campaña eran más sofisticados de lo que parecían inicialmente en nuestro análisis inicial. Estaban enfocados y deliberados en lo que pretendían lograr y más disciplinados y pacientes en su ejecución para evitar ser detectados.

Consulte nuestro informe completo titulado «Operation North Star: Driving the Scenes» para obtener una revisión detallada del análisis de ATR de la campaña.

Además, lea nuestro Site de McAfee Defender para obtener más información sobre cómo puede construir una arquitectura de seguridad adaptable contra la campaña Operation North Star y otras similares.





Enlace a la noticia first