Erkennung der Seashell Blizzard Attacke: Eine langandauernde Cyber-Spionage-Kampagne „BadPilot“ einer russisch verbundenen Hackergruppe
Inhaltsverzeichnis:
Eine berüchtigte russische APT-Gruppe Seashell Blizzard, auch bekannt als APT44 führt seit mindestens 2009 globale Cyber-Kampagnen durch. Verteidiger haben kürzlich eine neue, lang anhaltende Zugangs-Kampagne namens „BadPilot“ entdeckt, die den Fokus der Gruppe auf unauffällige anfängliche Infiltration und die Nutzung einer Reihe fortschrittlicher Techniken zur Umgehung von Erkennungen verstärkt.
Seashell Blizzard-Angriffe erkennen
Seit mehr als einem Jahrzehnt hat die von Russland unterstützte Seashell Blizzard APT-Gruppe – auch verfolgt als UAC-0145, APT44 oder Sandworm – hartnäckig die Ukraine ins Visier genommen und sich auf kritische Bereiche konzentriert. Seit der großangelegten Invasion hat diese dem GRU zugeordnete militärische Cyber-Spionage-Einheit ihre Aktivitäten eskaliert und nutzt die Ukraine als Testgelände, um ihre bösartigen TTPs zu verfeinern, bevor sie ihre offensiven Kampagnen auf globale Ziele ausweitet.
SOC Prime Platform für kollektive Cyberabwehr stattet Sicherheitsprofis mit einer Reihe kuratierter Erkennungsalgorithmen aus, um proaktiv den Seashell Blizzard-Operationen standzuhalten, unterstützt von einer kompletten Produkt-Suite für KI-gestützte Erkennungstechnologie, automatisierte Bedrohungsermittlung und fortschrittliche Bedrohungsdetektion. Einfach auf den Erkennungen durchsuchen Button unten klicken und sofort in einen relevanten Erkennungs-Stack vertiefen.
Alle Regeln sind mit mehreren SIEM-, EDR- und Data Lake-Plattformen kompatibel und zu MITRE ATT&CK abgebildet, um die Bedrohungsuntersuchung zu vereinfachen. Zusätzlich ist jede Regel mit umfangreichen Metadaten angereichert, einschließlich CTI Referenzen, Angriffstimeline, Triage-Empfehlungen, Audit-Konfigurationen und mehr.
Für weitere Erkennungsinhalte zu verwandten bösartigen Aktivitäten, die mit dem berüchtigten, von Russland verlinkten Cyber-Spionage-Kollektiv in Verbindung stehen, das unter diversen Namen und Identifikatoren bekannt ist, verwenden Sie die folgenden Tags „Sandworm“, “APT44“, oder „Seashell Blizzard“, um Ihre Suche über die SOC Prime Platform zu vereinfachen.
Analyse der Seashell Blizzard-Operationen
Seashell Blizzard, auch verfolgt als APT44, Sandworm, Voodoo Bear oder UAC-0082, ist ein russisches Hacker-Kollektiv mit hohem Einfluss, das mit der GRU-Einheit 74455 in Verbindung steht. Seit über einem Jahrzehnt haben Bedrohungsakteure weit verbreitete Gegner-Kampagnen durchgeführt, die Organisationen in den USA, Kanada, Australien, Europa und Asien ins Visier genommen haben.
Bekannt dafür, den unauffälligen Zugang zu beeinträchtigten Systemen aufrechtzuerhalten, nutzen die Gegner eine Mischung aus Open-Source- und maßgeschneiderten Werkzeugen, um Cyber-Spionage durchzuführen. Die Gruppe zeigt ein starkes Interesse an ICS- und SCADA-Umgebungen, wobei frühere Angriffe zu bedeutenden Unterbrechungen essentieller Infrastruktur führten, mit einer bemerkenswerten Auswirkung auf Energiesysteme.
AttackIQ-Forscher haben kürzlich Licht auf die BadPilot-Kampagne der Gruppe geworfen, eine heimliche und langanhaltende Operation, die darauf abzielt, Zielnetzwerke zu brechen. Die Kampagne nutzt hauptsächlich Spear-Phishing-E-Mails und Sicherheitslücken, um Systeme zu infiltrieren. Nach Erlangung einer Zugangsstellung wird der Zugang häufig an andere Gegner innerhalb der Gruppe übergeben, um mit weiterer Ausbeutung und Informationsgewinnung fortzufahren.
Bemerkenswert ist, dass Seashell Blizzard seit russlands umfassendem Einmarsch in die Ukrainedie Ukraine ins Visier genommen hat. Im April 2022 gaben CERT-UA zusammen mit Microsoft und ESET eine Warnung bezüglich des weltweit zweiten jemals durch einen Cyberangriff verursachten Stromausfallsheraus, der auf UAC-0082 (alias Seashell Blizzard) zurückverfolgt wurde. Die Angreifer nutzten Industroyer2, eine neue Variante der berüchtigten Industroyer-Malware, gepaart mit der berüchtigten CaddyWiper-Malware.
In der neuesten BadPilot-Kampagne setzen die Hacker hochgradig persistente Techniken ein, um den Zugang aufrechtzuerhalten, selbst nach System-Neustarts oder Passwort-Änderungen, indem sie Windows-Dienste ändern oder erstellen. Dies erreichen sie mit eingebauten Windows-Dienstprogrammen, insbesondere dem sc-Befehlszeilen-Tool, so dass sie neue Dienste einrichten und bestätigen können. Um unentdeckt zu bleiben, missbrauchen sie auch die Windows-BITS-Komponente, was es ihnen ermöglicht, Malware-Beispiele heimlich während Zeiten niedriger Systemaktivität zu verteilen, um sich in den normalen Netzwerkbetrieb einzufügen.
Um die Risiken der Seashell Blizzard-Operationen zu minimieren, sollten Sicherheitsteams ihre Verteidigungsmaßnahmen konsequent evaluieren. SOC Prime Platform für kollektive Cyberabwehr bietet eine zukunftssichere, unternehmensfähige Produkt-Suite, unterstützt von KI, Automatisierung und verwertbarer Bedrohungsintelligenz, um sicherzustellen, dass Unternehmen einen Wettbewerbsvorteil gegenüber den zunehmenden Fähigkeiten der Gegner erlangen können.
