Erkennung von Angriffen der Spionagegruppe Shuckworm: Von Russland unterstützte Bedrohungsakteure greifen wiederholt ukrainische Militär-, Sicherheits- und Regierungsorganisationen an
Inhaltsverzeichnis:
Seit dem umfassenden Einmarsch Russlands in die Ukraine haben die offensiven Kräfte des Aggressors eine Flut von Cyber-Spionagekampagnen gegen die Ukraine und ihre Verbündeten gestartet, wobei hauptsächlich Regierungsbehörden ins Visier genommen werden und häufig der Phishing-Angriffsvektor genutzt wird. Die berüchtigte Hackergruppe namens Shuckworm (Armageddon, Gamaredon), die bekanntlich Verbindungen zum russischen FSB hat, wurde seit mindestens 2014 hinter einer Reihe von Angriffen auf ukrainische Staatsstellen beobachtet. Dabei werden hauptsächlich gezielte Cyber-Intelligence-Operationen gestartet, die auf die Informationsbeschaffung abzielen. Cybersecurity-Forscher haben kürzlich einen Anstieg der bösartigen Aktivitäten der Gruppe bemerkt, wobei Sicherheitsdienstorganisationen, Militärs und Regierungsbehörden derzeit die Hauptziele sind.
Erkennen von Shuckworms Spionagekampagnen
Die anhaltenden und fokussierten Cyber-Spionagekampagnen, die dem berüchtigten russischen Hacker-Kollektiv Shuckworm zugeschrieben werden, erregen die Aufmerksamkeit von Cyber-Verteidigern aufgrund der ernsthaften Bedrohung, die sie für mehrere ukrainische Organisationen darstellen, hauptsächlich im öffentlichen Sektor. Das Experimentieren der Gruppe mit langanhaltenden Eindringlingen und der ständigen Weiterentwicklung ihres gegnerischen Toolkits erfordert wachsame Aufmerksamkeit von der weltweiten Gemeinschaft der Cyber-Verteidiger, um bereit zu sein, rechtzeitig auf die zunehmenden Bedrohungen durch Cyber-Spionage-Operationen von Aggressoren zu reagieren. Die Plattform für kollektive Cybersicherheit von SOC Prime kuratiert eine spezielle Sammlung von Sigma-Regeln, um Organisationen proaktiv gegen die Angriffe von Shuckworm zu verteidigen.
Alle Sigma-Regeln werden mit dem entsprechenden benutzerdefinierten Tag „Shuckworm“ gefiltert, um die Inhaltssuche zu vereinfachen. Klicken Sie auf den Detektionen erkunden -Button unten, um die gesamte Sammlung relevanter Detektionsregeln und Jagdabfragen zu durchforsten, die auf das MITRE ATT&CK®-Framework abgebildet und automatisch in führende SIEM-, EDR- und XDR-Lösungen konvertierbar sind. Für eine effizientere Bedrohungsuntersuchung erkunden Sie ATT&CK-Links, CTI, ausführbare Binärdateien, die mit Sigma-Regeln verbunden sind, und weitere relevante Metadaten.
Shuckworm-Aktivität: Analyse der neuesten Angriffe
Erstmals 2013 aufgetaucht, ist Shuckworm (auch bekannt als Gamaredon, Armageddon, Trident Ursa) ein erfahrener Akteur in der bösartigen Arena. Das Hacker-Kollektiv agiert als integraler Bestandteil des Föderalen Sicherheitsdienstes der Russischen Föderation, um gezielte Cyber-Intelligence- und subversive Aktivitäten gegen die Ukraine und ihre Verbündeten durchzuführen. CERT-UA behält die offensiven Operationen der Shuckworm-Gruppe genau im Auge und wird von CERT-UA-Forschern unter der UAC-0010-Kennung verfolgt.Während der Jahre 2022-2023 blieb Shuckworm eine der aufdringlichsten und fokussiertesten APTs, die ukrainische Einrichtungen an der Cyberfront ins Visier nehmen, sowie versuchte, kritische Infrastruktureinrichtungen in den NATO-Ländern zu stören..
Typischerweise verlässt sich die Shuckworm-Gruppe auf Spear-Phishing-Kampagnen, um mit Cyber-Spionage-Aktivitäten voranzukommen. Bedrohungsakteure verwenden einfache Werkzeuge, die in VBScript, VBA Script, C#, C++ und anderen Programmiersprachen geschrieben sind, und nutzen in den frühen Tagen ihrer Aktivität hauptsächlich Open-Source-Software, während sie allmählich dazu neigen, ihr Toolkit mit einer Anzahl von benutzerdefinierten Cyber-Spionage-Tools anzureichern, einschließlich Pterodo/Pteranodon, EvilGnome und mehreren Informationsdieben wie GammaLoad, GammaSteal und Giddome.
Seit dem Ausbruch des umfassenden Krieges in der Ukraine hat Shuckworm seine bösartigen Aktivitäten erheblich intensiviert, wobei der stärkste Anstieg im Februar-März 2023 beobachtet wurde. Zusätzlich zu den erhöhten Angriffsmengen neigen Shuckworm-Gegner dazu, ihr bösartiges Werkzeugset zu erweitern. Die Untersuchung von Symantec weist darauf hin, dass APT-Akteure vom Informationsdiebstahl, Standard-Word-Vorlagen-Entführern und verschiedenen Varianten des Pteranodon-Backdoor zu einer neuartigen USB-Malware übergehen, die Hackern hilft, sich über das Netzwerk zu verbreiten und einen breiteren Umfang an Instanzen zu infizieren.
Es ist bemerkenswert, dass sich die Shuckworm-Hacker während ihrer letzten Kampagne speziell auf die Personalabteilungen der ukrainischen Regierung, des Militärs, der Sicherheits- und Forschungsorganisationen konzentrierten, um sensible Informationen über Personen zu erhalten, die mit diesen Einheiten in Verbindung stehen.
Die Einbrüche in der letzten Kampagne beginnen typischerweise mit einer Phishing-E-Mail, die eine bösartige Datei im Anhang enthält. Wenn sie geöffnet wird, löst sie einen PowerShell-Befehl aus, der wiederum die Pterodo-Nutzlast vom Server des Angreifers herunterlädt. Zusätzlich enumeriert das PowerShell-Skript alle Laufwerke auf dem Gerät und kopiert sich selbst auf ein entfernbares USB-Laufwerk, was die Chancen für eine verdeckte Verbreitung und einen erfolgreichen seitlichen Bewegungsübergriff in der kompromittierten Umgebung erhöht.
Sicherheitsexperten bemerken, dass Shuckworm weiterhin stark auf die Ukraine und ihre Verbündeten fokussiert bleibt und ständig sein bösartiges Toolkit erweitert, um Cyber-Spionage- und destruktive Operationen auszuführen. Durch die direkte Zusammenarbeit mit CERT-UA und SSSCIP forscht, entwickelt und testet das SOC Prime-Team Sigma-Regeln auf dem realen Schlachtfeld, aggregiert relevante Erkennungsalgorithmen und fördert globale Zusammenarbeit über die SOC Prime-Plattform.
Verlassen Sie sich auf SOC Prime, um vollständig mit Erkennungsinhalten gegen jede TTP zu gerüstet zu sein, die von APT-Gruppen in ihren Angriffen verwendet werden. Greifen Sie auf den schnellsten Feed globaler Sicherheitsnachrichten, maßgeschneiderter Bedrohungsdaten und das größte Repository von kuratierten 10.000+ Sigma-Regeln zu, das kontinuierlich mit neuen Erkennungsideen angereichert wird. Entfesseln Sie die Kraft der erweiterten Intelligenz und kollektiver industrieller Expertise, um jedem Mitglied des Sicherheitsteams ein ultimatives Werkzeug für fortgeschrittene Erkennungstechniken zu bieten. Identifizieren Sie blinde Flecken und adressieren Sie sie rechtzeitig, um vollständige Bedrohungssichtbarkeit auf Basis der organisationseigenen Protokolle ohne Datenverschiebung in die Cloud sicherzustellen. Registrieren Sie sich jetzt bei der SOC Prime Plattform und statten Sie Ihr Sicherheitsteam mit der besten Ausrüstung für eine sichere Zukunft aus.
