Erkennung der Aktivität von Cadet Blizzard: Neuer russland-verbundener staatlich unterstützter Bedrohungsakteur verfolgt als DEV-0586 tritt auf die Bühne

Seit dem Ausbruch der umfassenden Invasion Russlands in die Ukraine zielt der Aggressor mit mehreren Cyberangriffen auf die Ukraine und ihre Verbündeten ab, wobei eine zunehmende Anzahl staatlich geförderter Hacker-Kollektive in der Cybersicherheitsarena auftaucht und wieder auftaucht. Während des Konflikts haben die russischen Offensiveinheiten mehr als 2.100 Angriffe mit unterschiedlichen Niveaus an Raffinesse und Auswirkung gestartet, indem sie mit einer Vielzahl von Gegner-Werkzeugen experimentierten und verschiedene TTPs einsetzten, was von Cyberverteidigern eine ultraschnelle Reaktionsfähigkeit erfordert. Cybersecurity-Forscher haben kürzlich die bösartige Aktivität einer neu entstandenen, von der Nation unterstützten russischen Hacker-Gruppe namens Cadet Blizzard enthüllt, die als DEV-0586 verfolgt wird und von der angenommen wird, dass sie hinter dem berüchtigten Angriff steckt, der auf die zerstörerische WhisperGate-Malware.

Erkennen Sie die bösartige Aktivität von Cadet Blizzard alias DEV-0586 

Die Ukraine wird zunehmend als Testfeld für neuartige TTPs genutzt, die von russischen staatlichen Akteuren eingesetzt werden und als Cyberfrontlinie für bösartige Gegenstücke dienen, die ihre Angriffe global eskalieren möchten. Durch die direkte Zusammenarbeit mit CERT-UA und SSSCIP forscht, entwickelt und testet das SOC Prime Team Sigma-Regeln in Echtzeit, aggregiert relevante Erkennungsalgorithmen und fördert die globale Zusammenarbeit über die SOC Prime-Plattform.

Die neue Cadet Blizzard APT ist kürzlich in den Fokus der Sicherheitsforscher weltweit geraten, dennoch hat die Gruppe viel gemeinsam mit dem von CERT-UA als UAC-0056 verfolgten bösartigen Akteur. Das Hacker-Kollektiv hat die ukrainische Infrastruktur durchgehend von 2022 bis 2023 angegriffen. 

Um Cybersecurity-Profis mit kuratierten Erkennungsinhalten, die sich mit Cadet Blizzards TTPs befassen, auszustatten, bietet die SOC Prime Plattform eine Reihe spezieller Sigma-Regeln und fortschrittliche Werkzeuge zur proaktiven Cyberverteidigung gegen mögliche Eindringlinge. Alle Regeln sind mit über 25 SIEM, EDR und XDR-Lösungen kompatibel und auf das MITRE ATT&CK® Framework v12 abgebildet, um Sicherheitsexperten bei der Rationalisierung der Ermittlungs- und Bedrohungsjagdoperationen zu unterstützen.

Drücken Sie die Explore Detections Schaltfläche unten, um sofort zu einem Sigma-Regelpaket zu gelangen, das darauf abzielt, Cadet Blizzard-Angriffe zu erkennen. Alle Regeln werden von umfangreichen Metadaten begleitet, einschließlich ATT&CK und CTI-Referenzen. Um die Inhaltssuche zu vereinfachen, unterstützt SOC Prime das Filtern nach den Tags „Cadet Blizzard“ und „DEV’0586“ basierend auf den Gruppenidentifikatoren.

Explore Detections

Wer ist Cadet Blizzard?

Am 14. Juni 2023 hat das Microsoft Threat Intelligence Team einen Bericht veröffentlicht , der die Aktivität eines neuartigen, von Russland unterstützten Hacker-Kollektivs namens Cadet Blizzard oder DEV-0586 abdeckt. Forscher haben die bösartige Aktivität der Gruppe im letzten Jahr analysiert und Einblicke in ihre offensiven Fähigkeiten und TTPs gewonnen. Cadet Blizzard ist eine russische GRU-unterstützte Bedrohungsgruppe zusammen mit ähnlichen Hacker-Kollektiven wie Forest Blizzard (STRONTIUM) und Seashell Blizzard (IRIDIUM), die ebenfalls mit der GRU in Verbindung stehen. Ungeachtet der Ähnlichkeiten sollte Cadet Blizzard als eigenständige GRU-assoziierte Hackergruppe angesehen werden, die höchstwahrscheinlich hinter zerstörerischen Cyberangriffen auf die Ukraine steckt. Es wird angenommen, dass die Bedrohungsakteure von Cadet Blizzard mit dem Einsatz von WhisperGate zerstörerischer data-wiping Malware in Verbindung stehen, die die IT-Infrastruktur ukrainischer staatlicher Stellen direkt vor der umfassenden Invasion Russlands im Januar betraf. 

Ende Februar 2023 veröffentlichten CERT-UA-Forscher eine Warnung an Cyberverteidiger über die laufende bösartige Aktivität von DEV-0586-Bedrohungsakteuren, auch als UAC-0056 verfolgt, bei der Gegner versuchten, die Stabilität von Regierungswebseiten durch den Einsatz mehrerer Backdoors zu stören. Direkt nach der entsprechenden CERT-UA-Mitteilung gab CISA eine Warnung heraus , die darauf abzielt, das Bewusstsein für Cybersicherheit zu schärfen und die Cyberwaffen in Reaktion auf die zunehmenden Bedrohungen im Zusammenhang mit den offensiven Operationen des Aggressors in der Cyber-Bedrohungslandschaft zu erhöhen. 

Laut Microsofts Forschung reicht Cadet Blizzards zerstörerische Aktivität bis ins Jahr 2020 zurück, wobei der Schwerpunkt hauptsächlich auf GRU-geführten Cyberspionagekampagnen und Informationsbeschaffung liegt, bei denen ukrainische IT-Dienstleister und staatliche Stellen die Hauptziele sind, jedoch auch Organisationen in der EU, Zentralasien und Lateinamerika ins Visier nehmen. Von Cadet Blizzard ist bekannt, dass sie sich in betroffene Netzwerke einnisten und Daten von kompromittierten Benutzern exfiltrieren, bevor sie in die aktive Angriffsphase übergehen. Beispielsweise nutzten Bedrohungsakteure in dem Angriff, der darauf abzielte, Regierungswebseiten im Februar 2023 lahmzulegen, Backdoors, die Monate vor der bösartigen Kampagne gepflanzt worden waren. Zusätzlich zu den etablierten Verbindungen zur GRU glauben Microsoft-Forscher auch, dass mindestens eine russische Privatsektor-Organisation die bösartigen Operationen von Cadet Blizzard, einschließlich der WhisperGate-Kampagne, finanziell unterstützt hat.

Vor der umfassenden Invasion Russlands in die Ukraine wurden DEV-0586-Bedrohungsakteure dabei beobachtet, dass sie im Frühjahr 2021 Osteuropäische Regierungsstellen und Technologieorganisationen ins Visier nahmen, dabei nach und nach den Umfang ihrer Angriffe erweiterten.

Cadet Blizzards bösartiges Arsenal ist ziemlich umfassend und kombiniert Living-off-the-Land-Techniken, Exploits für Schwachstellen von Confluence & Exchange-Servern, ProxyShell-Exploits, verschiedene Persistenzmechanismen wie Webshells, Exploit-Kits sowie benutzerdefinierte und standardmäßige Malware-Exemplare. Im Gegensatz zur Mehrheit der russischen staatlich geförderten Akteure, die typischerweise unter dem Radar bleiben möchten, um Cyberspionage durchzuführen, hat Cadet Blizzard eine Reihe rein zerstörerischer Operationen gestartet, die Resonanz in der Öffentlichkeit hervorrufen und als Signal für die Ziele von Interesse dienen sollen. Gegner nutzen auch antiforensische Techniken, indem sie beispielsweise bösartige Proben anwenden, die in der Lage sind, Microsoft Defender Antivirus zu deaktivieren, was die Erkennung der Aktivitäten der Gruppe erschwert.

Um die Bedrohungen im Zusammenhang mit Cadet Blizzards bösartiger Aktivität zu mindern, empfehlen Cyberverteidiger die Aktivierung von MFA und cloudbasierendem Schutz, die Überprüfung aller Authentifizierungsaktivitäten für Fernzugriffsinfrastrukturen, um potenzielle Systemkompromittierungen zu verhindern, und die Einhaltung der besten Branchenpraktiken zur Verbesserung der Cyberhygiene.

Verlassen Sie sich auf SOC Prime, um vollständig mit Erkennungsinhalten gegen jede ausnutzbare CVE oder TTP ausgestattet zu sein, die in den laufenden Cyberangriffen verwendet wird. Greifen Sie auf den weltweit schnellsten Feed mit Sicherheitsnachrichten, maßgeschneiderter Bedrohungsintelligenz und das größte Repository mit über 10.000 kuratierten Sigma-Regeln zu, die kontinuierlich mit neuen Erkennungsideen angereichert werden. Nutzen Sie die Kraft der erweiterten Intelligenz und die kollektive Branchenexpertise, um jedem Mitglied des Sicherheitsteams ein ultimatives Werkzeug für fortschrittliches Erkennungs-Engineering zu bieten. Identifizieren Sie blinde Flecken und adressieren Sie sie rechtzeitig, um vollständige Bedrohungstransparenz basierend auf den spezifischen Protokollen der Organisation zu gewährleisten, ohne Daten in die Cloud zu verschieben. Registrieren Sie sich bei der SOC Prime Plattform jetzt und rüsten Sie Ihr Sicherheitsteam mit den besten Werkzeugen für eine sichere Zukunft aus.