Cybersikkerheds- og efterretningsagenturer fra Five Eyes-nationerne har udsendt en fælles rådgivning, der kaster lys over den berygtede russiske statssponsorerede trusselsaktørs udviklende taktik, APT29. Denne hackende enhed, kendt under forskellige aliaser inklusive BlueBravo, Kappe Ursa, Hyggelig bjørn, og The Dukes, menes at være tilknyttet den russiske udenrigsefterretningstjeneste (SVR).
APT29 viser forbedret Modus Operandi
Fokus på APT29 blev intensiveret efter dets involvering i det højprofilerede forsyningskædekompromis med SolarWinds-software. Men, de seneste måneder har været vidne til en genopblussen af dets aktiviteter, med bemærkelsesværdige mål, herunder teknologigiganter som Microsoft og Hewlett Packard Enterprise (HPE), blandt andre. Koncernens strategiske mål ser ud til at være drevet af en ubarmhjertig jagt på cyber spionage, at udnytte sofistikerede taktikker til at infiltrere og kompromittere målrettede organisationer.
Ifølge den omfattende sikkerhedsbulletin udgivet af de samarbejdende agenturer, APT29 har demonstreret en bemærkelsesværdig tilpasningsevne til det skiftende landskab af cybersikkerhed. Efterhånden som organisationer overgår til cloud-baseret infrastruktur, trusselsaktøren har omkalibreret sin modus operandi, at dreje væk fra konventionelle metoder til at udnytte softwaresårbarheder i lokale netværk.
Nøgletaktik anvendt af APT29, som beskrevet i vejledningen, omfatter:
- Cloud Infrastructure Access. APT29 anvender brute-force og password spraying-angreb for at få adgang til cloud-infrastruktur, målretningsservice og hvilende konti. Dette skift betyder et strategisk skridt hen imod at udnytte sårbarheder, der er iboende i cloud-baserede systemer.
- Token-baseret adgang. Trusselsaktøren udnytter tokens for at få adgang til ofre’ konti uden behov for adgangskoder, omgå traditionelle autentificeringsmekanismer og komplicere detektionsbestræbelser.
- Teknikker til genbrug af legitimationsoplysninger. APT29 bruger adgangskodespraying og legitimationsgenbrugsteknikker til at kompromittere personlige konti, ved at bruge prompt bombning for at omgå multi-faktor autentificering (MFA) krav. Efterfølgende, trusselsaktørerne registrerer deres egne enheder for at få uautoriseret adgang til netværket.
- Boligfuldmagter. For at skjule deres sande oprindelse og undgå opdagelse, APT29 bruger boligproxyer til at maskere ondsindet trafik, gør det umuligt at skelne fra legitim brugeraktivitet. Ved at udnytte IP-adresser hos internetudbyderen (ISP) intervaller, der bruges til privatkunder, trusselsaktørerne camouflerer effektivt deres operationer.
Afslutningsvis, den fælles rådgivning tjener som et vidnesbyrd om cybersikkerhedsbureauers samarbejdsbestræbelser for at håndtere komplekse cybertrusler. Ved at afsløre taktikken i APT29 og give handlingsorienteret indsigt, vejledningen giver organisationer mulighed for at forbedre deres forsvar og sikre sig mod den omfattende trussel fra statsstøttet cyberspionage.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: