Detecção de Attack de Blizzard Shell: Uma Campanha de Ciberespionagem “BadPilot” de Longa Duração por Grupo de Hackers ligado à Rússia
Índice:
Um grupo APT nefasto da rússia, o Seashell Blizzard também conhecido como APT44 tem conduzido campanhas cibernéticas globais desde pelo menos 2009. Defensores recentemente avistaram uma nova campanha de acesso duradouro chamada ‘BadPilot’, reforçando o foco do grupo na infiltração inicial furtiva e utilizando um conjunto de técnicas avançadas de evasão de detecção.
Detectar Ataques da Seashell Blizzard
Por mais de uma década, o grupo APT Seashell Blizzard apoiado pela rússia – também rastreado como UAC-0145, APT44 ou Sandworm – tem persistentemente alvejado a Ucrânia, concentrando-se em setores críticos. Desde a invasão em grande escala, esta unidade de ciberespionagem militar ligada ao GRU aumentou sua atividade, usando a Ucrânia como um campo de testes para refinar suas TTPs maliciosas antes de expandir suas campanhas ofensivas para alvos globais.
Plataforma SOC Prime para defesa coletiva cibernética equipa profissionais de segurança com um conjunto de algoritmos de detecção selecionados para resistir proativamente às operações da Seashell Blizzard, respaldada por um conjunto completo de produtos para engenharia de detecção alimentada por IA, caça automática de ameaças e detecção avançada de ameaças. Basta clicar no Explorar Detecções botão abaixo e imediatamente aprofundar-se em uma pilha de detecção relevante.
Todas as regras são compatíveis com múltiplas plataformas SIEM, EDR e Data Lake e mapeadas para MITRE ATT&CK para agilizar a investigação de ameaças. Além disso, cada regra é enriquecida com metadados extensivos, incluindo CTI referências, cronogramas de ataques, recomendações de triagem, configurações de auditoria e mais.
Para mais conteúdo de detecção contra atividades maliciosas relacionadas associadas ao notório coletivo de ciber-espionagem ligado à rússia conhecido por diversos apelidos e identificadores, aplique as seguintes tags ‘Sandworm,’ ‘APT44,’ ou ‘Seashell Blizzard‘ para agilizar sua busca na Plataforma SOC Prime.
Análise das Operações Seashell Blizzard
Seashell Blizzard também rastreado como APT44, Sandworm, Voodoo Bear, ou UAC-0082, é um coletivo de hackers russos de alto impacto ligado à Unidade 74455 do GRU. Ativos por mais de uma década, os atores de ameaça conduziram campanhas adversárias generalizadas visando organizações nos EUA, Canadá, Austrália, Europa e Ásia.
Conhecido por manter acesso furtivo a sistemas impactados, adversários usam uma mistura de ferramentas de código aberto e personalizadas para realizar espionagem cibernética. O grupo mostra um forte interesse em ambientes ICS e SCADA, com ataques anteriores resultando em grandes interrupções em infraestruturas essenciais, com impacto notável em sistemas de energia.
Pesquisadores do AttackIQ recentemente lançaram luz sobre a campanha BadPilot do grupo, uma operação furtiva e prolongada destinada a violar redes-alvo. A campanha aproveita principalmente e-mails de spear-phishing e falhas de segurança para infiltrar sistemas. Após obter uma posição inicial, o acesso é frequentemente transferido para outros adversários dentro do grupo para prosseguir com mais exploração e coleta de inteligência.
Notavelmente, o Seashell Blizzard tem como alvo a Ucrânia desde a invasão plena da rússia à Ucrânia. Em abril de 2022, o CERT-UA, juntamente com a Microsoft e a ESET, emitiu um aviso sobre o segundo apagão elétrico já causado por um ciberataque, rastreado até o UAC-0082 (também conhecido como Seashell Blizzard). Os atacantes usaram o Industroyer2, uma nova variante do infame malware Industroyer, juntamente com o notório malware CaddyWiper.
Na mais recente campanha BadPilot, hackers empregam técnicas altamente persistentes para sustentar o acesso, mesmo após reinicializações do sistema ou mudanças de senha, alterando ou criando serviços do Windows. Eles conseguem isso usando utilitários embutidos do Windows, especificamente a ferramenta de linha de comando sc, permitindo-lhes configurar e confirmar novos serviços. Para se manter fora do radar, eles também abusam do componente BITS do Windows, permitindo-lhes implantar furtivamente amostras de malware durante períodos de baixa atividade do sistema, misturando-se com operações normais de rede.
Para minimizar os riscos das operações da Seashell Blizzard, as equipes de segurança devem avaliar consistentemente suas defesas. Plataforma SOC Prime para defesa cibernética coletiva oferece um conjunto de produtos prontos para a empresa e à prova de futuro, respaldado por IA, automação e inteligência de ameaças acionável para garantir que as empresas possam obter uma vantagem competitiva sobre as crescentes capacidades adversárias.
