Avversari sostenuti dalla nazione russa stanno prendendo di mira i contraenti del governo degli Stati Uniti: avvertimento CISA
Indice:
Il 16 febbraio 2022, la Cybersecurity and Infrastructure Security Agency (CISA) ha divulgato le ultime informazioni di intelligence sugli attacchi informatici legati alla Russia ai danni degli appaltatori residui statunitensi (CDCs) che sono operativi da almeno due anni. I CDCs presi di mira avevano accesso a una varietà di fonti di dati sensibili, tra cui sviluppo di armi, dati di sorveglianza, linee di comunicazione e specifiche software. Le vittime note includono l’esercito americano, l’aeronautica americana, la marina americana, la forza spaziale americana, e i programmi del Dipartimento della Difesa e di Intelligence.
L’FBI, il CISA e la NSA sottolineano l’importanza di proteggere le Reti degli Appaltatori della Difesa Autorizzati contro potenziali attacchi informatici russi. Abbiamo raccolto i più recenti contenuti di rilevamento disponibili sulla piattaforma di SOC Prime in modo che tu possa garantire una tempestiva mitigazione degli attacchi sopra menzionati nella tua organizzazione.
Campagna di Cyber Spionaggio Legata alla Russia: Approfondimenti e Rischi
Secondo il CISA, l’obiettivo principale dell’attività cibernetica malevola sponsorizzata dallo stato russo è di ottenere accesso ai piani e alle priorità militari del governo degli Stati Uniti. Di conseguenza, possono migliorare i propri sforzi di sviluppo tecnologico o addirittura tentare di reclutare le vittime che prendono di mira.
L’accesso presunto e persistente a una moltitudine di reti dei CDC è stato mantenuto almeno da gennaio 2020, con regolare esfiltrazione di dati sensibili da documentazione ed email. La suite di servizi Microsoft 365 è stato l’obiettivo più frequente. Gli avversari sfruttano principalmente le vulnerabilità conosciute per ottenere credenziali, attacchi a forza bruta e spear phishing. Mentre le TTP applicate dagli attaccanti non sono inconsuete, il dato allarmante è che gli hacker utilizzano una vasta gamma di malware che possono essere identificati solo attraverso l’implementazione continua delle ultime regole di rilevamento.
Le agenzie del governo degli Stati Uniti presumono che gli attori delle minacce sponsorizzati dallo stato russo continueranno i tentativi di intrusione per colpire le reti degli Appaltatori della Difesa nel prossimo futuro. Pertanto, si consiglia ai CDCs di applicare le più avanzate misure di difesa cibernetica per resistere all’attacco potenzialmente in corso e ai futuri tentativi.
Rileva e Mitiga Potenziali Attacchi Informatici Russi
Per rilevare l’attività malevola associata agli attori sponsorizzati dallo stato russo e aumentare la consapevolezza delle potenziali minacce, puoi sfruttare i contenuti di rilevamento selezionati già disponibili sulla piattaforma di SOC Prime. La tabella seguente (fornita da CISA) elenca tattiche, tecniche e procedure (TTP) comuni usate dagli attori nazionali russi durante gli attacchi contro gli appaltatori statunitensi e offre un insieme di regole Sigma indirizzate alle TTP avversarie.
Tactic | Technique | Procedure | Detection Content from SOC Prime’s Platform |
Reconnaissance (TA0043) Credential Access (TA0006) | Gather Victim Identity Information: Credentials (T1589.001) Brute Force (T1110) | Adversaries have applied brute force to identify legitimate account credentials for domain and Microsoft 365 accounts. Compromised credentials have enabled threat actors to get initial access to target networks. | |
Initial Access (TA0001) | External Remote Services (T1133) | Multiple nation-state APT groups have scanned for vulnerabilities in Fortinet’s Fortigate® VPN devices, conducting brute force attacks and weaponizing CVE-2018-13379 to receive credentials and gain access to compromised networks. | |
Initial Access (TA0001) Privilege Escalation (TA0004) | Valid Accounts (T1078) Exploit Public-Facing Application (T1190) | Attackers have taken advantage of identified account credentials and exploited vulnerabilities (CVE-2020-0688 and CVE-2020-17144) on VPNs and Microsoft Exchange servers to gain remote code execution and acquire further network access. | |
Initial Access (TA0001)
| Phishing: Spearphishing Link (T1566.002) Obfuscated Files or Information (T1027) | Cybercriminals have conducted targeted spear-phishing email campaigns through publicly accessible URL shortening tools. Leveraging this common obfuscation technique enabled threat actors to bypass malware and spam scanning tools while encouraging users to click the shortened link. | |
Initial Access (TA0001)
| OS Credential Dumping: NTDS (T1003.003) Valid Accounts: Domain Accounts (T1078.002) | Nation-state cybercriminals have obtained or abused credentials to access the targeted VPN server and obtain privileged access to the domain controller. Once compromised, threat actors may attempt to dump credentials from the targeted domain controller and make a copy of the Active Directory domain database leveraging the NTDS file (NTDS.dit). | |
Initial Access (TA0001) Privilege Escalation (TA0004) Collection (TA0009) | Valid Accounts: Cloud Accounts (T1078.004) Data from Information Repositories: SharePoint (T1213.002) | Adversaries have leveraged legitimate credentials of a global Microsoft 365 admin account to access the administrative portal and update permissions providing read access to all SharePoint pages within the tenant, as well as tenant user profiles and email inboxes. | |
Initial Access (TA0001) Collection (TA0009) | Valid Accounts: Domain Accounts (T1078.002) Email Collection (T1114) | For instance, in one of the cases, cybercriminals have applied valid credentials to exfiltrate mailboxes from the victims’ accounts. In another case, attackers have gained access to email credentials in order to collect sensitive data. | |
Persistence (TA0003) Lateral Movement (TA0008) | Valid Accounts (T1078) | Attackers have abused legitimate credentials to maintain persistent access to compromised accounts. Once some account passwords have been changed by the users, adversaries have pivoted across other accounts in the system to compromise them. | |
Discovery (TA0007) | File and Network Discovery (T1083) | Threat actors have accessed the targeted network and leveraged the BloodHound tool to map out relationships to the Active Directory domain. | |
Command and Control (TA0011) | Proxy: Multi-hop Proxy (T1090.003) | Attackers have applied multiple nodes to route traffic to the target. |
Unisciti alla nostra piattaforma Detection as Code di SOC Prime subito e beneficia della collaborazione mondiale di professionisti della cybersecurity per stare al passo con le minacce in continua evoluzione. Se sei uno sviluppatore di contenuti, fai domanda per unirti al Programma di Reward per le Minacce di SOC Prime, invia le tue regole Sigma e Yara originali, supera il controllo di qualità per far pubblicare i tuoi contenuti tramite la piattaforma di SOC Prime e ricevi pagamenti ripetuti.
