Detección del Ataque Blizzard Seashell: Una Campaña de Ciberespionaje de Larga Duración “BadPilot” por un Grupo de Hackers Vinculado a Rusia
Tabla de contenidos:
Un nefasto grupo APT de Rusia llamado Seashell Blizzard, también conocido como APT44 ha estado llevando a cabo campañas cibernéticas globales desde al menos 2009. Los defensores recientemente detectaron una nueva campaña de acceso prolongado llamada “BadPilot,” reforzando el enfoque del grupo en la infiltración inicial sigilosa y aprovechando un conjunto de técnicas avanzadas para evadir la detección.
Detectar Ataques de Seashell Blizzard
Durante más de una década, el grupo APT Seashell Blizzard respaldado por Rusia – también rastreado como UAC-0145, APT44 o Sandworm – ha atacado persistentemente a Ucrania, centrándose en sectores críticos. Desde la invasión a gran escala, esta unidad de ciberespionaje militar vinculada al GRU ha intensificado su actividad, utilizando Ucrania como campo de prueba para refinar sus TTP maliciosos antes de expandir sus campañas ofensivas a objetivos globales.
Plataforma SOC Prime para defensa cibernética colectiva equipa a los profesionales de la seguridad con un conjunto de algoritmos de detección curados para resistir proactivamente las operaciones de Seashell Blizzard, respaldado por un conjunto completo de productos para la ingeniería de detección basada en IA, la caza de amenazas automatizada y la detección avanzada de amenazas. Basta con hacer clic en el Explorar Detecciones botón de abajo e inmediatamente profundizar en una pila de detección relevante.
Todas las reglas son compatibles con múltiples plataformas SIEM, EDR y Data Lake, y están mapeadas a MITRE ATT&CK para simplificar la investigación de amenazas. Además, cada regla está enriquecida con metadatos extensivos, incluyendo CTI referencias, cronogramas de ataques, recomendaciones de triaje, configuraciones de auditoría, y más.
Para más contenido de detección contra actividades maliciosas relacionadas asociadas con el notorio colectivo de ciber-espionaje vinculado a Rusia conocido bajo diversos nombres y identificadores, aplique las siguientes etiquetas “Sandworm, “APT44, o “Seashell Blizzard” para facilitar su búsqueda en la Plataforma SOC Prime.
Análisis de Operaciones de Seashell Blizzard
Seashell Blizzard, también rastreado como APT44, Sandworm, Voodoo Bear, o UAC-0082, es un colectivo de hackers rusos de alto impacto ligado a la Unidad 74455 del GRU. Activo durante más de una década, los actores de amenazas han llevado a cabo campañas adversarias de gran alcance dirigidas a organizaciones en EE.UU., Canadá, Australia, Europa y Asia.
Conocidos por mantener acceso sigiloso a los sistemas impactados, los adversarios utilizan una combinación de herramientas de código abierto y personalizadas para llevar a cabo ciberespionaje. El grupo muestra un fuerte interés en entornos ICS y SCADA, con ataques anteriores que resultaron en importantes interrupciones en infraestructuras esenciales, con un notable impacto en los sistemas de energía.
Investigadores de AttackIQ han arrojado recientemente luz sobre la campaña BadPilot del grupo, una operación sigilosa y prolongada destinada a irrumpir en redes objetivo. La campaña aprovecha principalmente emails de spear-phishing y fallos de seguridad para infiltrarse en sistemas. Después de obtener un punto de apoyo, el acceso a menudo se transfiere a otros adversarios dentro del grupo para proceder con más explotación y recolección de inteligencia.
Notablemente, Seashell Blizzard ha dirigido a Ucrania desde la invasión a gran escala de Rusia en Ucrania. En abril de 2022, CERT-UA, junto con Microsoft y ESET, emitieron una advertencia respecto a la segunda interrupción de energía causada por un ciberataque en el mundo , rastreada hasta UAC-0082 (también conocido como Seashell Blizzard). Los atacantes usaron Industroyer2, una nueva variante del infame malware Industroyer, junto con el notorio, traced back to UAC-0082 (aka Seashell Blizzard). The attackers used Industroyer2, a new variant of the infamous Industroyer malware, paired with the notorious malware CaddyWiper.
En la última campaña BadPilot, los hackers emplean técnicas altamente persistentes para mantener acceso, incluso después de reinicios del sistema o cambios de contraseña, alterando o creando servicios de Windows. Logran esto usando utilidades integradas de Windows, específicamente la herramienta de línea de comandos sc, para poder configurar y confirmar nuevos servicios. Para permanecer bajo el radar, también abusan del componente BITS de Windows, lo que les permite desplegar muestras de malware discretamente durante períodos de baja actividad del sistema, mezclándose con las operaciones normales de la red.
Para minimizar los riesgos de las operaciones de Seashell Blizzard, los equipos de seguridad deben evaluar consistentemente sus defensas. Plataforma SOC Prime para defensa cibernética colectiva ofrece un conjunto de productos listos para la empresa y a prueba de futuro, respaldado por IA, automatización e inteligencia de amenazas procesable para asegurar que las empresas puedan obtener una ventaja competitiva sobre las capacidades adversarias en aumento.
