Seashell Blizzard Attack Detection: A Long-Running Cyber-Espionage “BadPilot” Campaign by russian-linked Hacking Group 

悪意のあるロシアのAPTグループSeashell Blizzardは、別名 APT44 は、少なくとも2009年から世界的なサイバーキャンペーンを展開してきました。ディフェンダーは最近、「BadPilot」と呼ばれる新しい長期的アクセスキャンペーンを発見しました。これは、グループがステルスな初期侵入に重点を置き、高度な検出回避技術を活用していることを強化しています。

Seashell Blizzard攻撃を検出する

10年以上にわたり、ロシア支援のSeashell Blizzard APTグループは、UAC-0145、APT44、あるいはSandwormとして追跡されながら、ウクライナの重要なセクターを一貫して標的にしています。本格的な侵攻以来、このGRUに関連する軍事サイバースパイユニットは、その活動をエスカレートさせ、ウクライナを悪意あるTTPを洗練するためのテストグラウンドとして使用し、攻撃的なキャンペーンを世界の目標に拡大しています。

SOC Primeプラットフォーム は、集団的サイバー防御のために、セキュリティ専門家に対して、Seashell Blizzardの作戦に対抗するためのキュレートされた検出アルゴリズムセットを装備し、AI駆動の検出エンジニアリング、自動化された脅威ハンティング、高度な脅威検出のための完全な製品スイートを提供します。すぐに関連する検出スタックに移行するには、下の 検出を探索する ボタンをクリックしてください。 

検出を探索する

すべてのルールは、複数のSIEM、EDR、およびデータレイクプラットフォームと互換性があり、 MITRE ATT&CK にマッピングされ、脅威の調査を効率化します。さらに、各ルールは広範なメタデータで強化され、 CTI 参照、攻撃タイムライン、トリアージ推奨事項、監査構成などを含んでいます。 

悪名高いロシアに関連するサイバースパイ集団に関連する悪意のある活動に対するより多くの検出コンテンツについては、次のタグ「Sandworm」、「APT44」、あるいは「Seashell Blizzard」を使用して、SOC Primeプラットフォームを通じて検索を効率化してください。

Seashell Blizzard作戦の分析

Seashell Blizzardは、APT44、 Sandworm、Voodoo Bear、または UAC-0082としても追跡され、GRUユニット74455に関連する影響力の大きいロシアのハッキング集団です。10年以上にわたり、脅威アクターは米国、カナダ、オーストラリア、ヨーロッパ、およびアジアの組織を標的にした広範な敵対キャンペーンを実施してきました。 

影響を受けたシステムにステルスなアクセスを維持することで知られており、敵対者はオープンソースおよびカスタムビルドされたツールを使用してサイバースパイ活動を実行します。このグループは、ICSおよびSCADA環境に強い関心を持ち、以前の攻撃では、エネルギーシステムに大きな影響を与える主要なインフラストラクチャの重大な中断を引き起こしました。

AttackIQ研究者 は最近、BadPilotキャンペーンについて、ターゲットネットワークへの侵入を目的としたステルスで長期的な操作であることを明らかにしました。このキャンペーンは主にスピアフィッシングメールおよびセキュリティの脆弱性を活用してシステムに侵入します。足場を確立した後、アクセスはしばしばグループ内の他の敵対者に引き渡され、さらなる搾取と情報収集を進めます。

特に、Seashell Blizzardはウクライナを標的にしています ロシアのウクライナ侵攻の全面展開が開始されて以来。2022年4月に、CERT-UAはMicrosoftおよびESETとともに、 サイバー攻撃に起因する史上2番目の停電について警告を発しました。攻撃者は、UAC-0082（別名Seashell Blizzard）に結びつけられたものであり、有名なIndustroyerマルウェアの新しいバリアントであるIndustroyer2を使用し、悪名高い CaddyWiperマルウェアと組み合わせました。 

最新のBadPilotキャンペーンでは、ハッカーは非常に持続的な技術を利用して、システムの再起動やパスワードの変更の後でもアクセスを維持します。これを達成するために、彼らは組み込みのWindowsユーティリティ、特にscコマンドラインツールを使用し、新しいサービスをセットアップして確認します。目立たないように、Windows BITSコンポーネントを悪用して、通常のネットワーク操作と融合しながら、システムの活動が少ない期間にマルウェアサンプルをステルスに展開します。

Seashell Blizzard作戦のリスクを最小限に抑えるには、セキュリティチームは一貫して防御を評価する必要があります。 SOC Primeプラットフォーム 集団的サイバー防御のためのプラットフォームは、AI、自動化、および実用的な脅威インテリジェンスをバックにした、将来を見据えたエンタープライズ向けの製品スイートを提供し、増大する敵対者能力に対して事業が競争優位性を獲得できるよう保証します。