Rilevamento dell’Attacco Seashell Blizzard: Una Campagna di Cyber-Spionaggio di Lunga Durata “BadPilot” da parte di un Gruppo di Hacking legato alla Russia
Indice:
Un nefasto gruppo APT russo, Seashell Blizzard, noto anche come APT44 sta conducendo campagne cyber globali almeno dal 2009. Recentemente, i difensori hanno individuato una nuova campagna di accesso di lunga durata chiamata “BadPilot”, che rafforza il focus del gruppo su un’infiltrazione iniziale furtiva e sfrutta una serie di avanzate tecniche di evasione della rilevazione.
Rileva gli attacchi di Seashell Blizzard
Da oltre un decennio, il gruppo APT russo Seashell Blizzard – anche monitorato come UAC-0145, APT44 o Sandworm – ha costantemente preso di mira l’Ucraina, concentrandosi su settori critici. Dall’invasione su larga scala, questa unità di cyber-spionaggio militare collegata al GRU ha intensificato la sua attività, usando l’Ucraina come banco di prova per perfezionare le sue TTP dannose prima di espandere le sue campagne offensive a obiettivi globali.
SOC Prime Platform per la difesa cyber collettiva equipaggia i professionisti della sicurezza con un set di algoritmi di rilevamento curati per resistere proattivamente alle operazioni di Seashell Blizzard supportate da una suite completa di prodotti per l’ingegneria del rilevamento potenziata dall’IA, la caccia automatizzata alle minacce e il rilevamento avanzato delle minacce. Basta cliccare sul Esplora Rilevamenti pulsante qui sotto e approfondire immediatamente una pila di rilevamento rilevante.
Tutte le regole sono compatibili con più piattaforme SIEM, EDR e Data Lake e mappate su MITRE ATT&CK per semplificare l’indagine sulle minacce. Inoltre, ciascuna regola è arricchita con metadati estensivi, inclusi CTI riferimenti, cronologie degli attacchi, raccomandazioni per il triage, configurazioni di audit e altro.
Per ulteriori contenuti di rilevamento contro attività malevole correlate associate al noto collettivo di cyber-spionaggio di matrice russa conosciuto sotto diversi nomi e identificatori, applica i seguenti tag “Sandworm,” “APT44,” o “Seashell Blizzard” per semplificare la tua ricerca su SOC Prime Platform.
Analisi delle Operazioni Seashell Blizzard
Seashell Blizzard, noto anche come APT44, Sandworm, Voodoo Bear, o UAC-0082, è un collettivo di hacker russi di alto impatto collegato all’Unità 74455 del GRU. Attiva da oltre un decennio, gli attori delle minacce hanno condotto campagne di avversari diffuse prendendo di mira organizzazioni negli Stati Uniti, Canada, Australia, Europa e Asia.
Conosciuti per mantenere accessi furtivi a sistemi compromessi, gli avversari utilizzano un mix di strumenti open-source e costruiti su misura per condurre operazioni di cyber-spionaggio. Il gruppo mostra un forte interesse per gli ambienti ICS e SCADA, con attacchi precedenti che hanno causato gravi interruzioni delle infrastrutture essenziali, con un impatto notevole sui sistemi energetici.
I ricercatori di AttackIQ hanno recentemente fatto luce sulla campagna BadPilot del gruppo, un’operazione furtiva e prolungata volta a violare le reti mirate. La campagna utilizza principalmente email spear-phishing e vulnerabilità della sicurezza per infiltrarsi nei sistemi. Dopo aver ottenuto una base, l’accesso viene spesso trasferito ad altri avversari all’interno del gruppo per proseguire con ulteriori exploit e raccolta di intelligence.
Degno di nota, Seashell Blizzard ha preso di mira l’Ucraina sin dalla invasione a pieno titolo dell’Ucraina da parte della Russia. Nel aprile 2022, CERT-UA, insieme a Microsoft ed ESET, ha emesso un avviso riguardante il secondo blackout mai causato da un attacco informatico, ricondotto a UAC-0082 (alias Seashell Blizzard). Gli attaccanti hanno utilizzato Industroyer2, una nuova variante del famigerato malware Industroyer, accoppiata con il noto malware CaddyWiper.
Nell’ultima campagna BadPilot, gli hacker impiegano tecniche altamente persistenti per mantenere l’accesso, anche dopo riavvii del sistema o cambiamenti di password, modificando o creando servizi Windows. Ottengono questo usando utilità integrate di Windows, specificamente lo strumento a riga di comando sc, in modo da poter configurare e confermare nuovi servizi. Per rimanere sotto il radar, abusano anche del componente BITS di Windows, permettendo loro di distribuire furtivamente campioni di malware durante periodi di bassa attività del sistema, integrandosi con le normali operazioni di rete.
Per minimizzare i rischi delle operazioni Seashell Blizzard, i team di sicurezza dovrebbero valutare costantemente le loro difese. SOC Prime Platform per la difesa cyber collettiva offre una suite di prodotti futura, pronta per le imprese, supportata da AI, automazione e intelligence delle minacce actionable, per garantire che le aziende possano ottenere un vantaggio competitivo sulle crescenti capacità degli avversari.
