Russische staatlich gestützte Gegner zielen auf US-Regierungsauftragnehmer: Warnung der CISA
Inhaltsverzeichnis:
Am 16. Februar 2022 gab die Cybersecurity and Infrastructure Security Agency (CISA) die neuesten Erkenntnisse zur Geheimdienstarbeit bekannt über russlandverbundene Cyberangriffe auf die US Cleared Defense Contractors (CDCs), die bereits seit mindestens zwei Jahren in Betrieb sind. Die anvisierten CDCs hatten Zugang zu verschiedenen sensiblen Datenquellen, einschließlich Waffenentwicklung, Überwachungsdaten, Kommunikationsleitungen und Software-Spezifikationen. Zu den bekannten Opfern gehören die U.S. Army, U.S. Air Force, U.S. Navy, U.S. Space Force sowie Programme des Verteidigungsministeriums und der Geheimdienste.
Das FBI, CISA und die NSA betonen die Wichtigkeit des Schutzes von Netzwerken der Cleared Defense Contractors gegen mögliche russische Cyberangriffe. Wir haben die neuesten Erkennungsinhalte, die derzeit auf SOC Primes Plattform verfügbar sind, zusammengestellt, damit Sie die oben genannten Angriffe in Ihrem Unternehmen rechtzeitig abwehren können.
Russland-verbundene Cyber-Spionagekampagne: Erkenntnisse und Risiken
Laut CISA ist das Hauptziel der russischen, staatlich unterstützten bösartigen Cyberaktivitäten der Zugang zu militärischen Plänen und Prioritäten der US-Regierung. Dadurch können sie ihre eigenen technologischen Entwicklungsbemühungen verbessern oder sogar versuchen, die Opfer zu rekrutieren, die sie ins Visier nehmen.
Der angebliche anhaltende Zugriff auf eine Vielzahl von CDC-Netzwerken wird seit mindestens Januar 2020 aufrechterhalten, begleitet von regelmäßiger Exfiltration der sensiblen Daten aus Dokumentationen und E-Mails. Die häufig genutzte Microsoft 365-Servicesuite war das am häufigsten angegriffene Ziel. Angreifer nutzen meist bekannte Schwachstellen aus, um Zugangsdaten abzuernten, Brute-Force-Angriffe durchzuführen und Spear-Phishing einzusetzen. Auch wenn die eingesetzten Taktiken, Techniken und Verfahren (TTPs) der Angreifer nicht ungewöhnlich sind, ist es alarmierend, dass Hacker eine Vielzahl an Malware-Varianten einsetzen, die nur durch kontinuierliche Implementierung der neuesten Erkennungsregeln identifiziert werden können.
US-Regierungsbehörden gehen davon aus, dass von Russland unterstützte Bedrohungsakteure ihre Eindringversuche auf die Netzwerke von Defense Contractors in naher Zukunft fortsetzen werden. Daher wird empfohlen, dass CDCs die fortschrittlichsten Maßnahmen zur Cyberabwehr anwenden, um sowohl den möglicherweise laufenden Angriff als auch zukünftige Versuche abzuwehren.
Erkennen und Abwehren potenzieller russischer Cyberangriffe
Um die mit den russischen, staatlich unterstützten Akteuren verbundene bösartige Aktivität zu erkennen und das Bewusstsein für potenzielle Bedrohungen zu erhöhen, können Sie bereits verfügbare, kuratierte Erkennungsinhalte auf SOC Primes Plattform nutzen. Die untenstehende Tabelle (bereitgestellt von CISA) listet gängige Taktiken, Techniken und Verfahren (TTPs) auf, die von russisch unterstützten Akteuren bei Angriffen auf US-Auftragnehmer eingesetzt werden, und bietet eine Reihe von Sigma-Regeln, die sich mit den TTPs der Angreifer befassen.
Tactic | Technique | Procedure | Detection Content from SOC Prime’s Platform |
Reconnaissance (TA0043) Credential Access (TA0006) | Gather Victim Identity Information: Credentials (T1589.001) Brute Force (T1110) | Adversaries have applied brute force to identify legitimate account credentials for domain and Microsoft 365 accounts. Compromised credentials have enabled threat actors to get initial access to target networks. | |
Initial Access (TA0001) | External Remote Services (T1133) | Multiple nation-state APT groups have scanned for vulnerabilities in Fortinet’s Fortigate® VPN devices, conducting brute force attacks and weaponizing CVE-2018-13379 to receive credentials and gain access to compromised networks. | |
Initial Access (TA0001) Privilege Escalation (TA0004) | Valid Accounts (T1078) Exploit Public-Facing Application (T1190) | Attackers have taken advantage of identified account credentials and exploited vulnerabilities (CVE-2020-0688 and CVE-2020-17144) on VPNs and Microsoft Exchange servers to gain remote code execution and acquire further network access. | |
Initial Access (TA0001)
| Phishing: Spearphishing Link (T1566.002) Obfuscated Files or Information (T1027) | Cybercriminals have conducted targeted spear-phishing email campaigns through publicly accessible URL shortening tools. Leveraging this common obfuscation technique enabled threat actors to bypass malware and spam scanning tools while encouraging users to click the shortened link. | |
Initial Access (TA0001)
| OS Credential Dumping: NTDS (T1003.003) Valid Accounts: Domain Accounts (T1078.002) | Nation-state cybercriminals have obtained or abused credentials to access the targeted VPN server and obtain privileged access to the domain controller. Once compromised, threat actors may attempt to dump credentials from the targeted domain controller and make a copy of the Active Directory domain database leveraging the NTDS file (NTDS.dit). | |
Initial Access (TA0001) Privilege Escalation (TA0004) Collection (TA0009) | Valid Accounts: Cloud Accounts (T1078.004) Data from Information Repositories: SharePoint (T1213.002) | Adversaries have leveraged legitimate credentials of a global Microsoft 365 admin account to access the administrative portal and update permissions providing read access to all SharePoint pages within the tenant, as well as tenant user profiles and email inboxes. | |
Initial Access (TA0001) Collection (TA0009) | Valid Accounts: Domain Accounts (T1078.002) Email Collection (T1114) | For instance, in one of the cases, cybercriminals have applied valid credentials to exfiltrate mailboxes from the victims’ accounts. In another case, attackers have gained access to email credentials in order to collect sensitive data. | |
Persistence (TA0003) Lateral Movement (TA0008) | Valid Accounts (T1078) | Attackers have abused legitimate credentials to maintain persistent access to compromised accounts. Once some account passwords have been changed by the users, adversaries have pivoted across other accounts in the system to compromise them. | |
Discovery (TA0007) | File and Network Discovery (T1083) | Threat actors have accessed the targeted network and leveraged the BloodHound tool to map out relationships to the Active Directory domain. | |
Command and Control (TA0011) | Proxy: Multi-hop Proxy (T1090.003) | Attackers have applied multiple nodes to route traffic to the target. |
Treten Sie noch heute der SOC Prime-Plattform Detection as Code bei und profitieren Sie von der weltweiten Zusammenarbeit von Cybersicherheitsexperten, um den ständig neuen Bedrohungen einen Schritt voraus zu sein. Wenn Sie Content-Entwickler sind, bewerben Sie sich für das SOC Prime Threat Bounty Program, reichen Sie Ihre originalen Sigma- und Yara-Regeln ein, bestehen Sie die Qualitätsprüfung, um Ihre Inhalte über SOC Primes Plattform zu veröffentlichen, und erhalten Sie wiederholte Auszahlungen.
