Detección del Ciberataque de Oso Energético

[post-views]
octubre 26, 2020 · 3 min de lectura
Detección del Ciberataque de Oso Energético

La semana pasada, el Buró Federal de Investigaciones y la Agencia de Seguridad de Infraestructura y Ciberseguridad publicaron un comunicado conjunto de seguridad relacionado con ataques cibernéticos recientemente descubiertos de la unidad de ciberespionaje patrocinada por el estado ruso. Energetic Bear (también conocido como Dragonfly, Crouching Yeti, TEMP.Isotope, TeamSpy, Berserk Bear, Havex y Koala) está activamente interesado en las elecciones de EE. UU. esta vez. Durante los últimos nueve meses, el grupo ha atacado docenas de redes gubernamentales estatales, locales, territoriales y tribales que alojan información electoral, y redes de aviación, según el documento. En al menos dos casos, sus ataques han sido exitosos. Algunos ataques han sido conocidos desde hace mucho tiempo, pero la mayoría han pasado bajo el radar de los investigadores de seguridad.

Vulnerabilidades explotadas por Energetic Bear

Durante los ataques, Energetic Bear explotó vulnerabilidades relativamente recientes para las cuales hay parches disponibles, para comprometer equipos de red, infiltrarse en redes internas, descubrir y exfiltrar datos sensibles. El documento menciona Bug de traverso de directorios de Citrix (CVE-2019-19781), una vulnerabilidad de ejecución remota de código en Microsoft Exchange (CVE-2020-0688), vulnerabilidad de VPN de Fortinet (CVE-2018-13379), y vulnerabilidad de SMTP de Exim (CVE 2019-10149). Los atacantes también explotan la vulnerabilidad Zerologon en servidores Windows (CVE-2020-1472) para recopilar credenciales de Windows Active Directory y usarlas para movimientos laterales.

Contenido de detección para descubrir sus ataques

Para ayudarle a defenderse proactivamente contra posibles ataques de Energetic Bear reportados en el alerta AA20-296A, hemos preparado una lista completa del contenido de detección más relevante que aborda herramientas, técnicas y vulnerabilidades explotadas. Todo el contenido está directamente mapeado al framework MITRE ATT&CK® y contiene referencias y descripciones relevantes:

Para ver el contenido SOC que aborda las actividades del grupo patrocinado por el estado ruso reportado, siga los enlaces:

Como puede ver, las vulnerabilidades críticas y los exploits disponibles son de particular interés para los actores de amenazas avanzadas. Según otro Comunicado de Seguridad Cibernética de la NSA, tres de las cinco vulnerabilidades mencionadas en este artículo también son explotadas activamente por actores patrocinados por el estado chino. Obtenga la lista completa del contenido de detección filtrado para abordar las vulnerabilidades mencionadas en el alerta AA20-296A:

Para ver todas las técnicas, actores de amenazas y vulnerabilidades relevantes como un único resultado de búsqueda, consulte este enlace:

Para obtener análisis más exhaustivos sobre los TTPs relacionados, visite la página MITRE ATT&CK en el Mercado de Detección de Amenazas o consulte el mapa MITRE ATT&CK en el sitio web. 

Potencie su velocidad de detección y respuesta a amenazas, aprovechando la Inteligencia de Seguridad Continua para optimizar las operaciones diarias del SOC con Gestión Continua de Contenidos.

¿Listo para probar el Mercado de Detección de Amenazas de SOC Prime? Regístrese gratis. O únete al Programa de Recompensas por Amenazas para crear tu propio contenido y compartirlo con la comunidad de Threat Detection Marketplace.

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.

Publicaciones relacionadas