Detecção de Ataques Cibernéticos do Energetic Bear

Na semana passada, o Federal Bureau of Investigation e a Agência de Segurança Cibernética e de Infraestrutura publicaram um aviso de segurança relacionado a ciberataques recentemente descobertos de uma unidade de espionagem cibernética patrocinada pelo estado russo. Energetic Bear (também conhecido como Dragonfly, Crouching Yeti, TEMP.Isotope, TeamSpy, Berserk Bear, Havex e Koala) está ativamente interessado nas eleições dos EUA desta vez. Nos últimos nove meses, o grupo atacou dezenas de redes governamentais estaduais, locais, territoriais e tribais que abrigam informações sobre as eleições e redes de aviação, de acordo com o documento. Em pelo menos dois casos, seus ataques foram bem-sucedidos. Alguns ataques são conhecidos há muito tempo, mas a maioria passou despercebida pelos radares dos pesquisadores de segurança.

Vulnerabilidades exploradas pelo Energetic Bear

Durante os ataques, o Energetic Bear explorou vulnerabilidades relativamente novas para as quais há patches disponíveis, para comprometer equipamentos de rede, infiltrar-se em redes internas, descobrir e exfiltrar dados confidenciais. O documento menciona Citrix Directory Traversal Bug (CVE-2019-19781), uma falha de execução remota de código no Microsoft Exchange (CVE-2020-0688), vulnerabilidade de VPN da Fortinet (CVE-2018-13379), e vulnerabilidade do Exim SMTP (CVE 2019-10149). Os atacantes também exploram a vulnerabilidade Zerologon nos servidores Windows (CVE-2020-1472) para coletar credenciais do Active Directory do Windows e usá-las para movimentação lateral.

Conteúdo de deteção para descobrir seus ataques

Para ajudá-lo a se defender proativamente contra possíveis ataques do Energetic Bear relatados no alerta AA20-296A, preparamos uma lista completa dos conteúdos de deteção mais relevantes que abordam ferramentas, técnicas e vulnerabilidades exploradas. Todo o conteúdo é mapeado diretamente para o framework MITRE ATT&CK® e contém referências e descrições relevantes:

Para visualizar o conteúdo do SOC que aborda as atividades do grupo russo patrocinado pelo estado, siga os links:

• Conteúdo cobrindo ataques atribuídos ao grupo Energetic Bear relatado no AA20-296A
• Técnicas dos atores de ameaça russos relatadas no AA20-296A 

Como você pode ver, vulnerabilidades críticas e explorações disponíveis para elas são de particular interesse para atores de ameaça avançados. Três das cinco vulnerabilidades mencionadas neste artigo também são exploradas ativamente por atores patrocinados pelo estado chinês, de acordo com outro aviso de segurança cibernética pela NSA. Obtenha a lista completa de conteúdo de deteção filtrado para abordar as vulnerabilidades mencionadas no Alerta AA20-296A:

• Conteúdo para detectar exploração de CVE relatado no AA20-296A

Para visualizar todas as técnicas relevantes, atores de ameaça e vulnerabilidades como um único resultado de pesquisa, confira este link:

• Conteúdo cobrindo ferramentas e técnicas do grupo APT e vulnerabilidades exploradas 

Para análises mais avançadas sobre os TTPs relacionados, visite a página MITRE ATT&CK no Threat Detection Marketplace ou confira o mapa MITRE ATT&CK no site. 

Impulsione a velocidade de deteção e resposta a ameaças, aproveitando a Segurança Contínua Inteligente para otimizar as operações diárias do SOC com Gestão Contínua de Conteúdo.

Pronto para experimentar o SOC Prime Threat Detection Marketplace? Cadastre-se gratuitamente. Ou entre no Programa de Recompensas de Ameaças para criar seu próprio conteúdo e compartilhá-lo com a comunidade do Threat Detection Marketplace.