Detección de Actividad de Cadet Blizzard: Nuevo Actor de Amenaza Vinculado a Rusia Patrocinado por el Estado Rastreador como DEV-0586 Llega a la Escena
Tabla de contenidos:
Desde el estallido de la invasión a gran escala de rusia a Ucrania, el agresor ha estado dirigiendo múltiples ciberataques contra Ucrania y sus aliados, con un número creciente de colectivos de hackers patrocinados por el estado que emergen y resurgen en el ámbito de las amenazas cibernéticas. Durante el conflicto, las fuerzas ofensivas de rusia han lanzado más de 2,100 ataques con niveles de sofisticación e impacto dispares, experimentando con una amplia gama de herramientas adversarias y aprovechando diversas TTPs, lo que requiere una ultra-responsividad por parte de los defensores cibernéticos. Investigadores de ciberseguridad han revelado recientemente la actividad maliciosa de un grupo de hackers respaldado por el estado ruso llamado Cadet Blizzard y rastreado como DEV-0586, que se cree que está detrás del notorio ataque aprovechando el destructivo malware WhisperGate.
Detectar la Actividad Maliciosa de Cadet Blizzard aka DEV-0586
Ucrania se utiliza cada vez más como un campo de pruebas para nuevas TTPs utilizadas por actores de estado-nación rusos, actuando como una línea de frente cibernética para contrapartes maliciosas que desean escalar sus ataques a nivel global. Al cooperar directamente con CERT-UA y SSSCIP, el equipo de SOC Prime investiga, desarrolla y prueba reglas Sigma en el campo de batalla real, agregando algoritmos de detección relevantes y fomentando la colaboración global a través de la Plataforma de SOC Prime.
Un nuevo APT llamado Cadet Blizzard ha llegado recientemente al centro de atención de investigadores de seguridad de todo el mundo, sin embargo, el grupo tiene mucho en común con el actor malicioso rastreado por CERT-UA como UAC-0056. El colectivo de hackers ha estado atacando continuamente la infraestructura ucraniana a lo largo de 2022-2023.
Para equipar a los profesionales de la ciberseguridad con contenido de detección curado que aborde las TTPs de Cadet Blizzard, la Plataforma de SOC Prime ofrece un conjunto de reglas Sigma dedicadas y herramientas avanzadas para habilitar una defensa cibernética proactiva contra posibles intrusiones. Todas las reglas son compatibles con más de 25 soluciones SIEM, EDR y XDR y están mapeadas al marco MITRE ATT&CK® v12 para ayudar a los profesionales de seguridad a optimizar las operaciones de investigación y caza de amenazas.
Presione el botón Explorar Detecciones a continuación para profundizar inmediatamente en un paquete de reglas Sigma destinado a detectar ataques de Cadet Blizzard. Todas las reglas están acompañadas de metadatos extensos, incluyendo referencias ATT&CK y CTI. Para simplificar la búsqueda de contenido, SOC Prime admite el filtrado por etiquetas “Cadet Blizzard” y “DEV’0586” basadas en los identificadores del grupo.
¿Quién es Cadet Blizzard?
El 14 de junio de 2023, el Equipo de Inteligencia de Amenazas de Microsoft emitió un informe cubriendo la actividad de un colectivo de hackers respaldado por el estado ruso identificado como Cadet Blizzard o DEV-0586. Los investigadores han analizado la actividad maliciosa del grupo durante el último año, obteniendo información sobre sus capacidades ofensivas y TTPs. Cadet Blizzard es un grupo de amenazas patrocinado por la GRU rusa junto con colectivos de hackers similares como Forest Blizzard (STRONTIUM) y Seashell Blizzard (IRIDIUM) también vinculados a la GRU. Sin embargo, independientemente de las similitudes, Cadet Blizzard se considera un grupo de hackers afiliado a la GRU distinto, que es muy probable que esté detrás de ciberataques destructivos contra Ucrania. Se cree que los actores de amenaza de Cadet Blizzard están vinculados al despliegue de el malware destructivo de borrado de datos WhisperGate afectando la infraestructura de TI de los organismos estatales ucranianos justo un mes antes de la invasión a gran escala de rusia.
A fines de febrero de 2023, investigadores de CERT-UA emitieron una alerta notificando a los defensores cibernéticos sobre la actividad maliciosa en curso de los actores de amenaza DEV-0586 también rastreados como UAC-0056, en el cual los adversarios aplicaron múltiples puertas traseras intentando interrumpir la estabilidad de los sitios web del gobierno. Justo después del aviso correspondiente de CERT-UA, CISA emitió una alerta para aumentar la conciencia sobre ciberseguridad y aumentar la vigilancia cibernética en respuesta a las crecientes amenazas vinculadas a las operaciones ofensivas del agresor en el ámbito de las amenazas cibernéticas.
Según la investigación de Microsoft, la actividad destructiva de Cadet Blizzard se remonta a 2020, centrándose principalmente en campañas de ciberespionaje dirigidas por la GRU y la recopilación de información, siendo los proveedores de TI ucranianos y los organismos estatales los principales objetivos, aunque también fijando la vista en organizaciones en la UE, Asia Central y América Latina. Se sabe que Cadet Blizzard gana una posición en las redes afectadas y exfiltra datos de usuarios comprometidos antes de la etapa activa del ataque. Por ejemplo, en el ataque destinado a paralizar los sitios web del gobierno en febrero de 2023, los actores de amenaza aprovecharon puertas traseras que habían sido plantadas meses antes de la campaña maliciosa. Además de los vínculos establecidos con la GRU, los investigadores de Microsoft también creen que al menos una organización del sector privado de rusia ha respaldado financieramente las operaciones maliciosas de Cadet Blizzard, incluida la campaña WhisperGate.
Antes de la invasión a gran escala de rusia a Ucrania, se observó que los actores de amenaza DEV-0586 atacaban entidades gubernamentales y organizaciones tecnológicas de Europa del Este a mediados de la primavera de 2021, expandiendo gradualmente el alcance de sus ataques.
El conjunto de herramientas maliciosas de Cadet Blizzard es bastante amplio, combinando técnicas de vivir de la tierra, exploits para vulnerabilidades del servidor de Confluence & Exchange, exploits de ProxyShell, varios mecanismos de persistencia como webshells, kits de explotación, así como muestras de malware tanto personalizadas como genéricas. A diferencia de la mayoría de los actores de estado-nación rusos que generalmente prefieren pasar desapercibidos para realizar ciberespionaje, Cadet Blizzard ha lanzado una serie de operaciones puramente destructivas destinadas a causar resonancia pública y actuar como una señal para los objetivos de interés. Los adversarios también aprovechan las técnicas antiforenses, por ejemplo, aplicando muestras maliciosas capaces de deshabilitar Microsoft Defender Antivirus, lo que puede representar un desafío para detectar la actividad del grupo.
Para mitigar las amenazas relacionadas con la actividad maliciosa de Cadet Blizzard, los defensores cibernéticos recomiendan habilitar MFA y protección en la nube, revisar toda la actividad de autenticación para la infraestructura de acceso remoto para prevenir posibles compromisos del sistema y seguir las mejores prácticas de la industria para mejorar la higiene cibernética.
Confíe en SOC Prime para estar completamente equipado con contenido de detección contra cualquier CVE explotable o cualquier TTP utilizado en los ciberataques en curso. Acceda al flujo de noticias de seguridad más rápido del mundo, inteligencia de amenazas a medida y el mayor repositorio de más de 10,000+ reglas Sigma curadas continuamente enriquecidas con nuevas ideas de detección. Desbloquee el poder de la inteligencia aumentada y la experiencia colectiva de la industria para equipar a cualquier miembro del equipo de seguridad con una herramienta definitiva para la ingeniería avanzada de detección. Identifique puntos ciegos y abórdelos a tiempo para asegurar una visibilidad completa de amenazas basada en los registros específicos de la organización sin mover datos a la nube. Regístrese en la Plataforma SOC Prime ahora y empodere a su equipo de seguridad con las mejores herramientas para un mañana seguro.
