Erkennung von Energetic Bear Cyberangriffen

[post-views]
Oktober 26, 2020 · 3 min zu lesen
Erkennung von Energetic Bear Cyberangriffen

Letzte Woche veröffentlichten das Federal Bureau of Investigation und die Cybersecurity and Infrastructure Security Agency gemeinsam einen Sicherheitshinweis im Zusammenhang mit kürzlich entdeckten Cyberangriffen einer russischen staatlich gesponserten Cyber-Spionage-Einheit. Energetic Bear (auch bekannt als Dragonfly, Crouching Yeti, TEMP.Isotope, TeamSpy, Berserk Bear, Havex und Koala) ist dieses Mal aktiv an den US-Wahlen interessiert. In den letzten neun Monaten hat die Gruppe Dutzende von staatlichen, lokalen, territorialen und Stammesregierungsnetzwerken, die Wahlinformationen enthalten, sowie Luftfahrtnetzwerke angegriffen, laut dem Dokument. In mindestens zwei Fällen waren ihre Angriffe erfolgreich. Einige Angriffe sind seit langem bekannt, aber die meisten sind den Sicherheitsforschern unter dem Radar geblieben.

Schwachstellen, die von Energetic Bear ausgenutzt werden

Während der Angriffe nutzte Energetic Bear relativ frische Schwachstellen aus, für die Patches verfügbar sind, um Netzwerkausrüstung zu kompromittieren, interne Netzwerke zu infiltrieren, sensible Daten zu entdecken und zu exfiltrieren. Das Dokument erwähnt den Citrix Directory Traversal Bug (CVE-2019-19781), eine Microsoft Exchange Remote-Code-Ausführungs-Schwachstelle (CVE-2020-0688), Fortinet-VPN-Schwachstelle (CVE-2018-13379), und Exim-SMTP-Schwachstelle (CVE 2019-10149). Angreifer nutzen auch die Zerologon Schwachstelle in Windows-Servern (CVE-2020-1472), um Windows Active Directory-Anmeldeinformationen zu sammeln und für laterale Bewegungen zu verwenden.

Erkennungsinhalte zur Aufdeckung ihrer Angriffe

Um Sie proaktiv gegen mögliche Energetic Bear-Angriffe zu verteidigen, die im AA20-296A-Alert gemeldet wurden, haben wir eine vollständige Liste der relevantesten Erkennungsinhalte vorbereitet, die Werkzeuge, Techniken und ausgenutzte Schwachstellen adressieren. Alle Inhalte sind direkt auf das MITRE ATT&CK®-Framework abgebildet und enthalten relevante Referenzen und Beschreibungen:

Um SOC-Inhalte anzusehen, die die Aktivitäten der gemeldeten russischen staatlich gesponserten Gruppe betreffen, folgen Sie den Links:

Wie Sie sehen können, sind kritische Schwachstellen und verfügbare Exploits dafür von besonderem Interesse für fortgeschrittene Bedrohungsakteure. Drei der fünf in diesem Artikel erwähnten Schwachstellen werden auch aktiv von chinesischen staatlich gesponserten Akteuren ausgenutzt, laut einer anderen Cybersecurity Advisory durch die NSA. Erhalten Sie die vollständige Liste der Erkennungsinhalte, gefiltert, um die im AA20-296A-Alarm erwähnten Schwachstellen zu adressieren:

Um alle relevanten Techniken, Bedrohungsakteure und Schwachstellen als ein einziges Suchergebnis anzuzeigen, überprüfen Sie diesen Link:

Für weiterführende Analysen zu den zugehörigen TTPs besuchen Sie die MITRE ATT&CK-Seite im Threat Detection Marketplace oder schauen Sie auf die MITRE ATT&CK-Karte auf der Website. 

Beschleunigen Sie Ihre Bedrohungserkennung und Reaktionsgeschwindigkeit, indem Sie Continuity Security Intelligence nutzen, um die täglichen SOC-Operationen mit kontinuierlichem Inhaltsmanagement.

Bereit, den SOC Prime Threat Detection Marketplace auszuprobieren? Melden Sie sich kostenlos an. Oder treten Sie dem Threat Bounty-Programm bei um Ihre eigenen Inhalte zu erstellen und mit der Threat Detection Marketplace-Community zu teilen.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.

Verwandte Beiträge