Détection de la Cyberattaque Energetic Bear
Table des matières :
La semaine dernière, le Bureau fédéral d’enquête et l’Agence de cybersécurité et de sécurité des infrastructures ont publié un avis de sécurité concernant des cyberattaques récemment découvertes de l’unité de cyberespionnage parrainée par l’État russe. Energetic Bear (également connu sous le nom de Dragonfly, Crouching Yeti, TEMP.Isotope, TeamSpy, Berserk Bear, Havex, et Koala) s’intéresse activement aux élections américaines cette fois-ci. Au cours des neuf derniers mois, le groupe a attaqué des dizaines de réseaux gouvernementaux locaux, territoriaux et tribaux hébergeant des informations sur les élections, ainsi que des réseaux de l’aviation, selon le document. Dans au moins deux cas, leurs attaques ont été couronnées de succès. Certaines attaques sont connues depuis longtemps, mais la plupart sont passées sous les radars des chercheurs en sécurité.
Vulnérabilités exploitées par Energetic Bear
Lors des attaques, Energetic Bear a exploité des vulnérabilités relativement récentes pour lesquelles des correctifs sont disponibles, afin de compromettre les équipements réseaux, d’infiltrer les réseaux internes, de découvrir et d’exfiltrer des données sensibles. Le document mentionne le bug de traversée de répertoire Citrix (CVE-2019-19781), une faille d’exécution de code à distance Microsoft Exchange (CVE-2020-0688), une vulnérabilité VPN Fortinet (CVE-2018-13379), et une vulnérabilité SMTP Exim (CVE 2019-10149). Les attaquants exploitent également la vulnérabilité Zerologon dans les serveurs Windows (CVE-2020-1472) pour collecter les identifiants Active Directory Windows et les utiliser pour un mouvement latéral.
Contenu de détection pour révéler leurs attaques
Pour vous aider à vous défendre de manière proactive contre les attaques potentielles d’Energetic Bear signalées dans l’alerte AA20-296A, nous avons préparé une liste complète des contenus de détection les plus pertinents qui traitent des outils, techniques et vulnérabilités exploitées. Tout le contenu est directement mappé au cadre MITRE ATT&CK® et contient des références et descriptions pertinentes :
Pour voir le contenu SOC traitant des activités du groupe russe parrainé par l’État signalé, suivez les liens :
- Contenu couvrant les attaques attribuées au groupe Energetic Bear signalées dans AA20-296A
- Techniques des acteurs de menace russes signalés dans AA20-296A
Comme vous pouvez le voir, les vulnérabilités critiques et les exploitations disponibles sont d’un intérêt particulier pour les acteurs de menace avancés. Trois des cinq vulnérabilités mentionnées dans cet article sont également activement exploitées par des acteurs parrainés par l’État chinois, selon un autre avis de cybersécurité de la NSA. Obtenez la liste complète des contenus de détection filtrée pour traiter les vulnérabilités mentionnées dans l’alerte AA20-296A :
Pour voir toutes les techniques, acteurs de menace et vulnérabilités pertinentes en un seul résultat de recherche, consultez ce lien :
Pour des analyses plus avancées sur les TTP associés, visitez la page MITRE ATT&CK au Threat Detection Marketplace ou consultez la carte MITRE ATT&CK sur le site web.
Boostez votre détection et réponse aux menaces en utilisant la sécurité continue pour rationaliser les opérations SOC quotidiennes avec la gestion continue de contenu.
Prêt à essayer le Threat Detection Marketplace de SOC Prime ? Inscrivez-vous gratuitement. Ou rejoignez le programme Threat Bounty pour créer votre propre contenu et le partager avec la communauté du Threat Detection Marketplace.
