Rilevazione degli Attacchi Informatici di Energetic Bear

La scorsa settimana, il Federal Bureau of Investigation e l’Agenzia per la Sicurezza Nazionale e delle Infrastrutture hanno rilasciato un comunicato sulla sicurezza relativo a recenti cyberattacchi di un’unità di cyber-spionaggio sponsorizzata dallo stato russo. Energetic Bear (anche conosciuto come Dragonfly, Crouching Yeti, TEMP.Isotope, TeamSpy, Berserk Bear, Havex, e Koala) è attualmente interessato alle elezioni statunitensi questa volta. Negli ultimi nove mesi il gruppo ha attaccato dozzine di reti governative statali, locali, territoriali e tribali che ospitano informazioni elettorali, e reti aeree, secondo quanto riportato nel documento. In almeno due casi, i loro attacchi sono stati portati a termine con successo. Alcuni attacchi sono noti da molto tempo, ma la maggior parte è passata inosservata ai ricercatori di sicurezza.

Vulnerabilità sfruttate da Energetic Bear

Durante gli attacchi, Energetic Bear ha sfruttato vulnerabilità relativamente recenti per le quali sono disponibili patch, per compromettere attrezzature di rete, infiltrarsi nelle reti interne, scoprire ed estrarre dati sensibili. Il documento menziona il bug di attraversamento directory di Citrix (CVE-2019-19781), un difetto di esecuzione di codice remoto di Exchange di Microsoft (CVE-2020-0688), una vulnerabilità VPN Fortinet (CVE-2018-13379), e una vulnerabilità SMTP di Exim (CVE 2019-10149). Gli attaccanti sfruttano anche la vulnerabilità Zerologon nei server Windows (CVE-2020-1472) per raccogliere credenziali di Active Directory di Windows e utilizzarle per il movimento laterale.

Contenuti di rilevamento per scoprire i loro attacchi

Per aiutarti a difenderti proattivamente contro possibili attacchi di Energetic Bear riportati nell’allerta AA20-296A, abbiamo preparato un elenco completo dei contenuti di rilevamento più rilevanti che trattano strumenti, tecniche e vulnerabilità sfruttate. Tutti i contenuti sono direttamente mappati al framework MITRE ATT&CK® e contengono riferimenti e descrizioni pertinenti:

Per visualizzare i contenuti del SOC relativi alle attività del gruppo russo sponsorizzato dallo stato segnalato, segui i link:

• Contenuti che coprono attacchi attribuiti al gruppo Energetic Bear segnalati in AA20-296A
• Tecniche di attori di minacce russi segnalati in AA20-296A 

Come puoi vedere, le vulnerabilità critiche e gli exploit disponibili per esse sono di particolare interesse per gli attori avanzati di minacce. Tre delle cinque vulnerabilità menzionate in quest’articolo sono anche sfruttate attivamente da attori cinesi sponsorizzati dallo stato, secondo un altro comunicato sulla sicurezza informatica di NSA. Ottieni l’elenco completo dei contenuti di rilevamento filtrati per affrontare le vulnerabilità menzionate nell’Avviso AA20-296A:

• Contenuti per rilevare lo sfruttamento dei CVE riportati in AA20-296A

Per visualizzare tutte le tecniche rilevanti, gli attori di minacce e le vulnerabilità come un unico risultato di ricerca, consulta questo link:

• Contenuti che coprono strumenti e tecniche del gruppo APT e vulnerabilità sfruttate 

Per un’analisi più approfondita sui TTP correlati, visita la pagina MITRE ATT&CK al Threat Detection Marketplace o controlla la mappa MITRE ATT&CK sul sito web. 

Potenziate la vostra capacità di rilevamento delle minacce e velocità di risposta, sfruttando l’intelligence di sicurezza continua per ottimizzare le operazioni quotidiane del SOC con Continuous Content Management.

Pronto a provare il SOC Prime Threat Detection Marketplace? Registrati gratuitamente. Oppure entra nel Programma di Ricompense per le Minacce per creare i tuoi contenuti e condividerli con la community del Threat Detection Marketplace.