Las agencias de inteligencia y seguridad cibernética de EE. UU. revelaron el martes que varios grupos de piratería de estados nacionales potencialmente se dirigieron a una «red empresarial de la organización del Sector de la Base Industrial de Defensa (DIB)» como parte de una campaña de espionaje cibernético.
Los actores (de amenazas persistentes avanzadas) utilizaron un conjunto de herramientas de código abierto llamado Impacket para afianzarse en el entorno y comprometer aún más la red, y también utilizaron una herramienta de exfiltración de datos personalizada, CovalentStealer, para robar los datos confidenciales de la víctima. El aviso conjunto , que fue escrito por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad Nacional (NSA), dijo que los adversarios probablemente tenían acceso a largo plazo al entorno comprometido.
Los hallazgos son el resultado de los esfuerzos de respuesta a incidentes de CISA en colaboración con una empresa de seguridad externa confiable desde noviembre de 2021 hasta enero de 2022. No atribuyó la intrusión a un actor o grupo de amenazas conocido. También se desconoce el vector de infección inicial utilizado para violar la red, aunque se dice que algunos de los actores de APT obtuvieron una cabeza de playa digital para el servidor Microsoft Exchange del objetivo a mediados de enero de 2021.
Las actividades posteriores a la explotación en febrero implicaron una combinación de esfuerzos de reconocimiento y recopilación de datos, el último de los cuales resultó en la exfiltración de información confidencial relacionada con el contrato. También se implementó durante esta fase la herramienta Impacket para establecer la persistencia y facilitar el movimiento lateral.
Se recomienda a las organizaciones que supervisen los registros en busca de conexiones de VPN inusuales, uso de cuentas sospechosas, uso de línea de comandos anómalo y malicioso conocido, y cambios no autorizados en las cuentas de usuario.
