Erkennung der Snake-Malware: Cyber-Spionage-Implantat wird von der mit Russland verbundenen Turla APT in einer langandauernden Kampagne gegen NATO-Länder eingesetzt
Inhaltsverzeichnis:
Am 9. Mai 2023 gab das US-Justizministerium die Details einer gemeinsamen Operation mit dem Namen MEDUSA bekannt, die zur Störung der Snake-Cyber-Spyware-Infrastruktur führte, die aktiv genutzt wurde, um über 50 Länder in Nordamerika, Europa und Afrika ins Visier zu nehmen.
Zum ersten Mal im Jahr 2003 aufgetaucht, wurde das bösartige Tool von der Turla-Gruppe, die mit dem Föderalen Sicherheitsdienst der Russischen Föderation (FSB) in Verbindung steht, dazu verwendet, Angriffe auf verschiedene interessante Ziele, einschließlich der Regierungen von NATO-Mitgliedsländern, durchzuführen. Nach der Störung der Snake-Kampagne forderten die Nationale Sicherheitsagentur (NSA) und mehrere Partneragenturen dringendOrganisationen auf, relevante Maßnahmen zur Erkennung und Eindämmung bösartiger Aktivitäten im Zusammenhang mit Snake zu ergreifen.
Erkennen Sie Snake-Malware, die von mit Russland verbundenen Bedrohungsakteuren verwendet wird
Da das berüchtigte Snake-Implantat das fortschrittlichste Cyber-Spionage-Tool ist, das von der russischen FSB genutzt wird und im neuesten gemeinsamen CSA AA23-129Abehandelt wird, muss die globale Cyber-Verteidigungsgemeinschaft das Bewusstsein stärken und die Cyber-Resilienz erhöhen, um Organisationen zu helfen, die damit verbundene Gegneraktivität rechtzeitig zu identifizieren. Die Detection as Code-Plattform von SOC Prime unterstützt Organisationen dabei, eine kollektive Cyber-Verteidigung zu fördern, um eine sicherere Cyber-Zukunft zu gewährleisten, indem sie ihren Threat Detection Marketplace kontinuierlich mit kuratierten Sigma-Regeln für auftretende Bedrohungen bereichert. Zur Unterstützung von Cyber-Verteidigern im Kampf gegen die mit Russland verbundene Snake-Malware hat das SOC Prime-Team kürzlich eine umfangreiche Sammlung von relevanten kontextangereicherten Sigma-Regeln veröffentlicht.
Alle Sigma-Regeln innerhalb dieses Erkennungsstapels sind nach den benutzerdefinierten Tags „AA23-129A“ und „Snake_Malware“ gefiltert, basierend auf dem entsprechenden CSA-Code und dem Nutzernamen, um eine vereinfachte Suche nach Erkennungsalgorithmen zu ermöglichen.
Indem Sie auf die Schaltfläche Erkennung erkunden unten klicken, können Sicherheitsteams sofort auf die gesamte Sammlung von Sigma-Regeln zur Snake-Malware-Erkennung zugreifen. Die Erkennungsalgorithmen sind auf MITRE ATT&CK v12 abgestimmt, decken mehrere Protokollquellen ab und sind auf die führenden SIEM-, EDR- und XDR-Lösungen anwendbar. Sicherheitsingenieure können auch relevante Metadaten einsehen, einschließlich ATT&CK- und CTI-Referenzen, für eine effizientere Bedrohungsuntersuchung.
Analyse der Snake-Malware
Als das berüchtigtste, langjährigste Cyber-Spionage-Malware-Beispiel des FSB gilt Snake seit mindestens 20 Jahren als aktiv und nimmt verdeckt Organisationen von Interesse für die Russische Föderation ins Visier. Die Liste der Opfer umfasst NATO-Behörden des öffentlichen Sektors, Journalisten, Medienvertreter, Bildungseinrichtungen und kleine Unternehmen. Auch kritische Infrastrukturen, Finanz-, Produktions- und Telekommunikationssektoren sind betroffen.
Laut Sicherheitsexperten tauchte Snake-Malware erstmals in den Jahren 2003-2004 unter dem Namen Uroburos in der bösartigen Arena auf. Im Zusammenhang mit dem Turla-Hackerkollektiv innerhalb von FSBs Zentrum 16 wird das Implantat kontinuierlich von Gegnern verwendet, um sensible Informationen und Dokumente zu stehlen und zusätzliche schädliche Software über ein verdecktes Peer-to-Peer-Netzwerk einzusetzen. Es wird typischerweise mit Hilfe öffentlicher Infrastrukturknoten im Zielnetzwerk bereitgestellt. Weiterhin verwendet Snake andere Werkzeuge und TTPs im internen Netzwerk, um fortzufahren.
Durch die Operation MEDUSA gelang es dem FBI, alle betroffenen Systeme innerhalb der USA zu unterbrechen, während die Behörde außerhalb des Landes mit den lokalen Behörden zusammenarbeitete, um Erkennungs- und Abhilfemaßnahmen zu bieten und das Snake-Implantat zu entfernen. Wie im Justizministerium vermerkt, entwickelten FBI-Experten ein spezialisiertes Tool namens PERSEUS, das in der Lage ist, Snake-Malware dazu zu bringen, sich selbst zu deaktivieren und zu beenden, ohne den Host-Rechner oder dazugehörige Anwendungen zu schädigen.
US-Behörden und Verbündete haben eine gemeinsame Warnung herausgegeben, die betroffenen Organisationen hilft, die russische Snake-Malware-Infrastruktur zu erkennen und Gegenmaßnahmen zu ergreifen.
Mit den zunehmenden Volumina an Cyber-Angriffen, die von russischen Angriffskräften gestartet werden, benötigen Cyber-Verteidiger höchste Reaktionsbereitschaft, um den bösartigen Aktivitäten der Angreifer proaktiv entgegenzutreten. SOC Prime bietet eine umfangreiche Sammlung von Sigma-Regeln gegen russische staatlich geförderte APTs, zusammen mit 50 kuratierten Erkennungsalgorithmen, die auf die Sicherheitsanforderungen der Organisation abgestimmt sind. Holen Sie sich das auf Wohltätigkeit basierende Sigma2SaveLives subscription mit 100 % der Einnahmen, die gespendet werden, um gezielte Hilfe für das ukrainische Volk zu leisten und gleichzeitig Ihre Cybersicherheitslage erheblich zu verbessern.
