Detecção de Atividade do Cadet Blizzard: Novo Ameaçador Patrocinado pela Nação com Vínculos Russos Rastreado como DEV-0586 Entra em Cena
Índice:
Desde o início da invasão em larga escala da Ucrânia pela rússia, o agressor tem direcionado múltiplos ataques cibernéticos contra a Ucrânia e seus aliados, com um número crescente de coletivos de hackers patrocinados pelo Estado emergindo e ressurgindo na arena de ameaças cibernéticas. Durante o conflito, as forças ofensivas da rússia lançaram mais de 2.100 ataques com níveis distintos de sofisticação e impacto, experimentando uma ampla gama de ferramentas adversárias e aproveitando TTPs diversos, o que exige ultra-responsividade dos defensores cibernéticos. Pesquisadores de cibersegurança revelaram recentemente a atividade maliciosa de um novo grupo de hackers patrocinado pela nação russa chamado Cadet Blizzard e rastreado como DEV-0586, que se acredita estar por trás do notório ataque usando um destrutivo malware WhisperGate.
Detectar Atividade Maliciosa do Cadet Blizzard aka DEV-0586
A Ucrânia é cada vez mais usada como um campo de teste para novas TTPs usadas por atores estatais russos, atuando como uma linha de frente cibernética para contrapartes maliciosas que querem escalar seus ataques globalmente. Ao cooperar diretamente com o CERT-UA e SSSCIP, a equipe do SOC Prime pesquisa, desenvolve e testa regras Sigma no campo de batalha real, agregando algoritmos de detecção relevantes e incentivando a colaboração global através da Plataforma do SOC Prime.
O novo APT Cadet Blizzard recentemente ganhou destaque entre pesquisadores de segurança em todo o mundo, no entanto, o grupo tem muito em comum com o ator malicioso rastreado pelo CERT-UA como UAC-0056. O coletivo de hackers tem atacado continuamente a infraestrutura ucraniana durante 2022-2023.
Para equipar profissionais de cibersegurança com conteúdo de detecção selecionado que aborda as TTPs do Cadet Blizzard, a Plataforma SOC Prime oferece um conjunto de regras Sigma dedicadas e ferramentas avançadas para possibilitar uma defesa cibernética proativa contra possíveis intrusões. Todas as regras são compatíveis com mais de 25 soluções SIEM, EDR e XDR e são mapeadas para o framework MITRE ATT&CK® v12 para ajudar os profissionais de segurança a agilizar as operações de investigação e hunting de ameaças.
Pressione o botão Explorar Detecções abaixo para acessar imediatamente um pacote de regras Sigma destinado a detectar ataques do Cadet Blizzard. Todas as regras são acompanhadas por metadados extensos, incluindo referências do ATT&CK e CTI. Para simplificar a busca de conteúdo, o SOC Prime suporta a filtragem por tags “Cadet Blizzard” e “DEV’0586” com base nos identificadores do grupo.
Quem é o Cadet Blizzard?
Em 14 de junho de 2023, a Equipe de Inteligência de Ameaças da Microsoft emitiu um relatório cobrindo a atividade de um novo coletivo de hackers apoiado pela nação russa identificado como Cadet Blizzard ou DEV-0586. Os pesquisadores analisaram a atividade maliciosa do grupo no último ano, mergulhando em insights sobre suas capacidades ofensivas e TTPs. Cadet Blizzard é um grupo de ameaça patrocinado pela GRU russa juntamente com coletivos de hackers semelhantes como Forest Blizzard (STRONTIUM) e Seashell Blizzard (IRIDIUM) também ligados à GRU. No entanto, independentemente das semelhanças, é altamente provável que o Cadet Blizzard seja considerado um grupo de hackers afiliado à GRU e esteja por trás de ataques cibernéticos destrutivos contra a Ucrânia. Os atores da ameaça do Cadet Blizzard acredita-se que estejam ligados à implantação do malware destrutivo de apagamento de dados WhisperGate afectando a infraestrutura de TI de órgãos estatais ucranianos apenas um mês antes da invasão em larga escala da rússia.
No final de fevereiro de 2023, pesquisadores do CERT-UA emitiram um alerta notificando os defensores cibernéticos sobre a atividade maliciosa em andamento dos atores da ameaça DEV-0586 também rastreados como UAC-0056, em que os adversários aplicaram múltiplas portas traseiras tentando desestabilizar a estabilidade dos sites do governo. Logo após o aviso correspondente do CERT-UA, a CISA emitiu um alerta destinado a aumentar a conscientização sobre cibersegurança e aumentar a vigilância cibernética em resposta às crescentes ameaças ligadas às operações ofensivas do agressor na arena de ameaças cibernéticas.
De acordo com a pesquisa da Microsoft, a atividade destrutiva do Cadet Blizzard remonta a 2020, concentrando-se principalmente em campanhas de ciberespionagem lideradas pela GRU e coleta de informações com os provedores de TI ucranianos e órgãos estatais sendo os alvos principais, mas também visando organizações na UE, Ásia Central e América Latina. Cadet Blizzard é conhecido por ganhar uma posição nas redes impactadas e exfiltrar dados de usuários comprometidos antes da etapa ativa de ataque. Por exemplo, no ataque que visava paralisar os sites do governo em fevereiro de 2023, os atores da ameaça aproveitaram backdoors que haviam sido plantados meses antes da campanha maliciosa. Além das ligações estabelecidas com a GRU, pesquisadores da Microsoft também acreditam que pelo menos uma organização do setor privado russo tenha apoiado financeiramente as operações maliciosas do Cadet Blizzard, incluindo a campanha WhisperGate.
Antes da invasão em larga escala da Ucrânia pela rússia, os atores da ameaça DEV-0586 foram observados como alvo de entidades governamentais do Leste Europeu e organizações de tecnologia na primavera de 2021, expandindo gradualmente o escopo de seus ataques.
O conjunto de ferramentas maliciosas do Cadet Blizzard é bastante amplo, combinando técnicas de viver fora da terra, exploits para vulnerabilidades de servidores Confluence & Exchange, exploits ProxyShell, vários mecanismos de persistência, como webshells, kits de exploração, além de amostras de malware personalizadas e comuns. Ao contrário da maioria dos atores estatais russos que normalmente preferem passar despercebidos para realizar ciberespionagem, o Cadet Blizzard lançou um conjunto de operações puramente destrutivas destinadas a causar ressonância pública e atuar como um sinal para os alvos de interesse. Os adversários também utilizam técnicas antiforenses, por exemplo, aplicando amostras maliciosas capazes de desativar o Microsoft Defender Antivirus, o que pode representar um desafio para detectar a atividade do grupo.
Para mitigar as ameaças relacionadas à atividade maliciosa do Cadet Blizzard, os defensores cibernéticos recomendam habilitar MFA e proteção em nuvem, verificar toda a atividade de autenticação para infraestrutura de acesso remoto para evitar possível comprometimento do sistema e seguir as melhores práticas do setor para melhorar a higiene cibernética.
Confie no SOC Prime para estar totalmente equipado com conteúdo de detecção contra qualquer CVE explorável ou qualquer TTP usado nos ataques cibernéticos em andamento. Acesse o feed de notícias de segurança mais rápido do mundo, inteligência de ameaças personalizada e o maior repositório de 10.000+ regras Sigma completamente curadas e continuamente enriquecidas com novas ideias de detecção. Desbloqueie o poder da inteligência aumentada e a experiência coletiva da indústria para equipar qualquer membro da equipe de segurança com uma ferramenta definitiva para engenharia avançada de detecção. Identifique pontos cegos e aborde-os em tempo hábil para garantir visibilidade completa sobre ameaças com base nos logs específicos da organização sem mover dados para a nuvem. Registre-se na Plataforma SOC Prime agora e capacite sua equipe de segurança com as melhores ferramentas para um amanhã seguro.
