Détection d’Activité de Cadet Blizzard : Nouvel Acteur de Menace État-Sponsorisé Lié à la Russie, Suivi sous le Nom de DEV-0586, Fait Son Apparition
Table des matières :
Depuis le déclenchement de l’invasion à grande échelle de l’Ukraine par la Russie, l’agresseur a ciblé l’Ukraine et ses alliés par de nombreuses cyberattaques, avec un nombre croissant de collectifs de pirates informatiques parrainés par des États qui émergent et réapparaissent dans l’arène des cybermenaces. Pendant le conflit, les forces offensives russes ont lancé plus de 2 100 attaques avec des niveaux de sophistication et d’impact variés, expérimentant une large gamme d’outils adverses et utilisant diverses TTP, ce qui nécessite une ultra-réactivité de la part des défenseurs cybersécurité. Les chercheurs en cybersécurité ont récemment dévoilé l’activité malveillante d’un nouveau groupe de hackers soutenu par l’État russe, surnommé Cadet Blizzard et suivi sous le nom de DEV-0586, qui est supposé être derrière l’attaque notoire utilisant… le malware WhisperGate.
Détecter l’activité malveillante de Cadet Blizzard alias DEV-0586
L’Ukraine est de plus en plus utilisée comme un banc d’essai pour les nouvelles TTP utilisées par les acteurs étatiques russes, agissant comme une ligne de front cyber pour les contreparties malveillantes qui veulent intensifier leurs attaques à l’échelle mondiale. En coopérant directement avec CERT-UA et SSSCIP, l’équipe de SOC Prime recherche, développe et teste des règles Sigma sur le véritable champ de bataille, regroupant des algorithmes de détection pertinents et encourageant la collaboration mondiale via la plateforme SOC Prime.
Un nouveau APT appelé Cadet Blizzard a récemment fait les gros titres pour les chercheurs en sécurité du monde entier, cependant, le groupe a beaucoup en commun avec l’acteur malveillant suivi par CERT-UA sous le nom UAC-0056. Le collectif de hackers a été… s’attaquant continuellement à l’infrastructure ukrainienne pendant 2022-2023.
Pour équiper les professionnels de la cybersécurité avec un contenu de détection organisé traitant des TTP de Cadet Blizzard, la plateforme SOC Prime offre un ensemble de règles Sigma dédiées et d’outils avancés pour permettre une défense cyber proactive contre d’éventuelles intrusions. Toutes les règles sont compatibles avec plus de 25 solutions SIEM, EDR et XDR et sont mappées au cadre MITRE ATT&CK® v12 pour aider les professionnels de la sécurité à rationaliser les enquêtes et les opérations de chasse aux menaces.
Appuyez sur le bouton Explorer les Détections ci-dessous pour accéder immédiatement à un ensemble de règles Sigma visant à détecter les attaques de Cadet Blizzard. Toutes les règles sont accompagnées de métadonnées étendues, y compris des références ATT&CK et CTI. Pour simplifier la recherche de contenu, SOC Prime prend en charge le filtrage par les balises “Cadet Blizzard” et “DEV’0586” basées sur les identifiants de groupe.
bouton Explorer les Détections
Qui est Cadet Blizzard ?
Le 14 juin 2023, l’équipe Microsoft Threat Intelligent a publié un rapport couvrant l’activité d’un nouveau collectif de pirates informatiques parrainé par l’État russe, identifié sous le nom de Cadet Blizzard ou DEV-0586. Les chercheurs ont analysé l’activité malveillante du groupe au cours de l’année passée, révélant des informations sur leurs capacités offensives et leurs TTP. Cadet Blizzard est un groupe de menace soutenu par le GRU russe, tout comme des collectifs de hackers similaires tels que Forest Blizzard (STRONTIUM) et Seashell Blizzard (IRIDIUM) également liés au GRU. Cependant, malgré les similitudes, Cadet Blizzard est considéré comme un groupe de hackers distinct affilié au GRU, qui est très probablement derrière les attaques cybernétiques destructrices contre l’Ukraine. Les acteurs de menace de Cadet Blizzard sont supposés être liés au déploiement de malware destructeur WhisperGate affectant l’infrastructure informatique des organismes d’État ukrainiens juste un mois avant l’invasion à grande échelle de la Russie.
Fin février 2023, les chercheurs de CERT-UA ont émis une alerte pour informer les défenseurs cybersécurité de l’activité malveillante continue des acteurs de la menace DEV-0586 également suivis sous le nom de UAC-0056, dans laquelle les adversaires ont utilisé plusieurs portes dérobées pour tenter de perturber la stabilité des sites web gouvernementaux. À la suite de l’avis correspondant de CERT-UA, le CISA a émis une alerte visant à sensibiliser au niveau de cybersécurité et à accroître la vigilance cyber en réponse aux menaces croissantes liées aux opérations offensives de l’agresseur dans l’arène des cybermenaces.
Selon les recherches de Microsoft, l’activité destructive de Cadet Blizzard remonte à 2020, principalement focalisée sur des campagnes de cyberespionnage et de collecte d’informations dirigées par le GRU, les fournisseurs informatiques ukrainiens et les institutions d’État étant les cibles principales, mais ciblant aussi des organisations dans l’UE, en Asie centrale et en Amérique latine. Cadet Blizzard est connu pour s’établir sur les réseaux impactés et exfiltrer des données des utilisateurs compromis avant l’étape de l’attaque active. Par exemple, lors de l’attaque visant à paralyser les sites web gouvernementaux en février 2023, les acteurs de la menace ont utilisé des portes dérobées qui avaient été installées des mois avant la campagne malveillante. En plus des liens établis avec le GRU, les chercheurs de Microsoft estiment qu’au moins une organisation privée russe a soutenu financièrement les opérations malveillantes de Cadet Blizzard, y compris la campagne WhisperGate.
Avant l’invasion à grande échelle de l’Ukraine par la Russie, les acteurs de la menace DEV-0586 ont été observés ciblant des entités gouvernementales d’Europe de l’Est et des organisations technologiques à la mi-printemps 2021, élargissant progressivement la portée de leurs attaques.
Le panel d’outils malveillants de Cadet Blizzard est assez large, combinant des techniques de vivre sur la terre, des exploits pour les vulnérabilités des serveurs Confluence & Exchange, des exploits ProxyShell, divers mécanismes de persistance tels que les webshells, les kits d’exploitation, ainsi que des échantillons de malwares personnalisés et courants. Contrairement à la majorité des acteurs étatiques russes qui préfèrent généralement passer inaperçus pour effectuer du cyberespionnage, Cadet Blizzard a lancé un ensemble d’opérations purement destructrices destinées à provoquer une résonance publique et à agir comme un signal pour les cibles d’intérêt. Les adversaires utilisent également des techniques anti-forensiques, par exemple en appliquant des échantillons malveillants capables de désactiver Microsoft Defender Antivirus, ce qui peut poser un défi pour détecter l’activité du groupe.
Pour atténuer les menaces liées à l’activité malveillante de Cadet Blizzard, les défenseurs cybersécurité recommandent d’activer le MFA et la protection délivrée par le cloud, de vérifier toutes les activités d’authentification de l’infrastructure d’accès à distance pour éviter les compromis potentiels du système, et de suivre les meilleures pratiques de l’industrie pour améliorer l’hygiène cyber.
Comptez sur SOC Prime pour être entièrement équipé avec du contenu de détection contre n’importe quel CVE exploitable ou n’importe quel TTP utilisé dans les attaques cyber en cours. Accédez au flux d’informations de sécurité le plus rapide au monde, aux renseignements sur les menaces sur mesure, et au plus grand référentiel de plus de 10 000 règles Sigma organisées et continuellement enrichies de nouvelles idées de détection. Déverrouillez la puissance de l’intelligence augmentée et de l’expertise collective de l’industrie pour équiper tout membre de l’équipe de sécurité avec un outil ultime pour l’ingénierie de détection avancée. Identifiez les points aveugles et adressez-les à temps pour assurer une visibilité complète des menaces basée sur les journaux spécifiques à l’organisation sans déplacer les données vers le cloud. Inscrivez-vous à la plateforme SOC Prime désormais et renforcez votre équipe de sécurité avec les meilleurs outils pour un avenir sécurisé.
