Rilevamento delle Attività di Cadet Blizzard: Nuovo Attore di Minacce Sostenuto dallo Stato di Origine Russa Identificato come DEV-0586 Scende in Campo
Indice:
Dall’inizio dell’invasione su vasta scala dell’Ucraina da parte della Russia, l’aggressore ha mirato a numerosi attacchi informatici contro l’Ucraina e i suoi alleati, con un numero crescente di collettivi di hacking sponsorizzati dallo stato che emergono e riemergono nell’arena delle minacce informatiche. Durante il conflitto, le forze offensive della Russia hanno lanciato oltre 2.100 attacchi con livelli disparati di sofisticazione e impatto, sperimentando una vasta gamma di strumenti avversari e sfruttando diverse TTP, il che richiede un’altissima reattività dai difensori informatici. I ricercatori sulla sicurezza informatica hanno recentemente svelato l’attività malevola di un nuovo gruppo di hacker supportato dalla Russia denominato Cadet Blizzard e tracciato come DEV-0586, ritenuto dietro il famoso attacco che sfrutta il distruttivo malware WhisperGate.
Rileva l’Attività Malevola di Cadet Blizzard aka DEV-0586
L’Ucraina viene sempre più utilizzata come campo di prova per nuove TTP impiegate da attori statali russi, agendo come una prima linea cibernetica per controparti malevole che vogliono intensificare i loro attacchi a livello globale. Cooperando direttamente con CERT-UA e SSSCIP, il team di SOC Prime ricerca, sviluppa e testa regole Sigma sul campo di battaglia reale, aggregando algoritmi di rilevamento rilevanti e incoraggiando la collaborazione globale attraverso la piattaforma di SOC Prime.
Il nuovo APT Cadet Blizzard è recentemente salito agli onori della cronaca dei ricercatori di sicurezza a livello mondiale, tuttavia, il gruppo ha molto in comune con l’attore malevolo tracciato da CERT-UA come UAC-0056. Il collettivo di hacker è stato continuamente attaccando l’infrastruttura ucraina nel periodo 2022-2023.
Per dotare i professionisti della sicurezza informatica di contenuti di rilevamento curati per indirizzare le TTP di Cadet Blizzard, la piattaforma SOC Prime offre un set di regole Sigma dedicate e strumenti avanzati per abilitare una difesa informatica proattiva contro possibili intrusioni. Tutte le regole sono compatibili con più di 25 soluzioni SIEM, EDR e XDR e mappate al framework MITRE ATT&CK® v12 per aiutare i professionisti della sicurezza a ottimizzare le operazioni di indagine e di hunting delle minacce.
Premi il tasto Esplora Rilevamenti qui sotto per approfondire immediatamente un pacchetto di regole Sigma mirato a rilevare gli attacchi di Cadet Blizzard. Tutte le regole sono accompagnate da metadati estesi, incluse riferimenti ATT&CK e CTI. Per semplificare la ricerca dei contenuti, SOC Prime supporta il filtro per tag “Cadet Blizzard” e “DEV’0586” basato sugli identificatori di gruppo.
Chi è Cadet Blizzard?
Il 14 giugno 2023, il Team di Intelligenza sulla Minaccia di Microsoft ha emesso un rapporto che copriva l’attività di un nuovo collettivo di hacker supportato dalla nazione russa identificato come Cadet Blizzard o DEV-0586. I ricercatori hanno analizzato l’attività malevola del gruppo nell’ultimo anno approfondendo le loro capacità offensive e le TTP. Cadet Blizzard è un gruppo di minaccia sponsorizzato dal GRU russo insieme a simili collettivi di hacker come Forest Blizzard (STRONTIUM) e Seashell Blizzard (IRIDIUM) anch’essi legati al GRU. Tuttavia, indipendentemente dalle somiglianze, Cadet Blizzard è considerato un gruppo di hacker affiliato al GRU distinto, che si ritiene altamente probabile dietro attacchi informatici distruttivi contro l’Ucraina. Gli attori delle minacce di Cadet Blizzard sono ritenuti collegati alla distribuzione di malware distruttivo WhisperGate che colpisce l’infrastruttura IT degli enti statali ucraini un mese prima dell’invasione a tutto campo della Russia.
A fine febbraio 2023, i ricercatori di CERT-UA hanno emesso un avviso di sicurezza che informava i difensori informatici dell’attività malevola in corso di gli attori di minacce DEV-0586 tracciati anche come UAC-0056, in cui gli avversari hanno applicato più backdoor cercando di distruggere la stabilità dei siti web governativi. Sulla scia del corrispondente avviso CERT-UA, la CISA ha emesso un avviso mirato a aumentare la consapevolezza sulla sicurezza informatica e a incrementare la vigilanza informatica in risposta alle crescenti minacce legate alle operazioni offensive dell’aggressore nell’arena delle minacce informatiche.
Secondo la ricerca di Microsoft, l’attività distruttiva di Cadet Blizzard risale al 2020, principalmente concentrata su campagne di spionaggio cibernetico guidate dal GRU e raccolta di informazioni, con fornitori IT ucraini ed enti statali come principali obiettivi, ma anche fissando gli occhi su organizzazioni nell’UE, Asia Centrale e America Latina. Cadet Blizzard è noto per ottenere un punto d’appoggio nelle reti compromesse ed esfiltrare dati dagli utenti compromessi prima della fase di attacco attivo. Ad esempio, nell’attacco volto a sabotare i siti web governativi nel febbraio 2023, gli attori delle minacce hanno sfruttato backdoor piantate mesi prima della campagna malevola. Oltre ai legami stabiliti con il GRU, i ricercatori di Microsoft credono anche che almeno un’organizzazione del settore privato russo abbia finanziariamente sostenuto le operazioni malevole di Cadet Blizzard, compresa la campagna WhisperGate.
Prima dell’invasione su vasta scala dell’Ucraina da parte della Russia, gli attori di minacce DEV-0586 sono stati osservati prendere di mira entità governative e organizzazioni tecnologiche dell’Europa dell’Est a metà primavera del 2021, espandendo gradualmente la portata dei loro attacchi.
L’arsenale malevolo di Cadet Blizzard è piuttosto ampio, combinando tecniche ‘living-off-the-land’, exploit per vulnerabilità dei server Confluence & Exchange, exploit ProxyShell, vari meccanismi di persistenza come webshell, kit di exploit, nonché campioni di malware personalizzati e commerciali. A differenza della maggior parte degli attori statali russi che di solito preferiscono agire in modo discreto per eseguire spionaggi informatici, Cadet Blizzard ha lanciato una serie di operazioni puramente distruttive destinate a causare risonanza pubblica e fungere da segnale per gli obiettivi di interesse. Gli avversari sfruttano anche tecniche antiforensi, ad esempio, applicando campioni malevoli in grado di disabilitare Microsoft Defender Antivirus, che può rappresentare una sfida per rilevare l’attività del gruppo.
Per mitigare le minacce legate all’attività malevola di Cadet Blizzard, i difensori informatici raccomandano di abilitare l’MFA e la protezione fornita in cloud, controllare tutta l’attività di autenticazione per l’infrastruttura di accesso remoto per prevenire potenziali compromissioni del sistema, e seguire le migliori pratiche del settore per migliorare l’igiene informatica.
Affidati a SOC Prime per essere completamente equipaggiato con contenuti di rilevamento contro qualsiasi CVE sfruttabile o TTP utilizzata negli attacchi informatici in corso. Accedi al feed di notizie sulla sicurezza più veloce al mondo, all’intelligenza sulle minacce attentamente studiata e al più grande repository di oltre 10.000 regole Sigma curate continuamente arricchito con nuove idee di rilevamento. Sblocca il potere dell’intelligenza aumentata e dell’esperienza collettiva del settore per dotare qualsiasi membro del team di sicurezza di uno strumento definitivo per l’ingegneria del rilevamento avanzata. Identifica i punti ciechi e affrontali tempestivamente per garantire la completa visibilità delle minacce basandoti sui log specifici dell’organizzazione senza spostare dati nel cloud. Registrati alla piattaforma SOC Prime ora e potenzia il tuo team di sicurezza con i migliori strumenti per un domani sicuro.
