Cybersicherheits- und Geheimdienste aus den Five-Eyes-Ländern haben eine gemeinsame Empfehlung herausgegeben, die Licht auf die sich entwickelnden Taktiken des berüchtigten russischen, staatlich geförderten Bedrohungsakteurs wirft, APT29. Dieses Hacker-Unternehmen, bekannt unter verschiedenen Pseudonymen, darunter BlueBravo, Verhüllte Ursa, Gemütlicher Bär, und Die Herzöge, Es wird angenommen, dass er mit dem russischen Auslandsgeheimdienst in Verbindung steht (SVR).
APT29 präsentiert verbesserten Modus Operandi
Die Aufmerksamkeit auf APT29 verstärkte sich, nachdem das Unternehmen an der hochkarätigen Lieferkettenkompromittierung der SolarWinds-Software beteiligt war. Jedoch, In den letzten Monaten kam es zu einer Wiederbelebung seiner Aktivitäten, mit namhaften Zielen, darunter Technologiegiganten wie Microsoft und Hewlett Packard Enterprise (HPE), unter anderem. Die strategischen Ziele der Gruppe scheinen von einer unermüdlichen Verfolgung angetrieben zu werden Cyber-Spionage, Einsatz ausgefeilter Taktiken, um Zielorganisationen zu infiltrieren und zu kompromittieren.
Laut dem umfassenden Sicherheitsbulletin der kooperierenden Behörden, APT29 hat eine bemerkenswerte Anpassungsfähigkeit an die sich verändernde Landschaft der Cybersicherheit bewiesen. Wenn Unternehmen auf eine cloudbasierte Infrastruktur umsteigen, Der Bedrohungsakteur hat seine Vorgehensweise neu kalibriert, Abkehr von herkömmlichen Methoden zur Ausnutzung von Softwareschwachstellen in lokalen Netzwerken.
Schlüsseltaktiken von APT29, wie in der Empfehlung beschrieben, enthalten:
- Zugriff auf die Cloud-Infrastruktur. APT29 nutzt Brute-Force- und Passwort-Spraying-Angriffe, um Zugriff auf die Cloud-Infrastruktur zu erhalten, Targeting-Dienste und ruhende Konten. Dieser Wandel bedeutet einen strategischen Schritt hin zur Ausnutzung von Schwachstellen, die cloudbasierten Systemen innewohnen.
- Tokenbasierter Zugriff. Der Bedrohungsakteur nutzt Token, um auf Opfer zuzugreifen’ Konten ohne die Notwendigkeit von Passwörtern, Dadurch werden herkömmliche Authentifizierungsmechanismen umgangen und die Erkennungsbemühungen erschwert.
- Techniken zur Wiederverwendung von Anmeldeinformationen. APT29 nutzt Passwort-Spraying- und Anmeldedaten-Wiederverwendungstechniken, um persönliche Konten zu kompromittieren, Einsatz von Prompt Bombing, um die Multi-Faktor-Authentifizierung zu umgehen (MFA) Bedarf. Anschließend, Die Bedrohungsakteure registrieren ihre eigenen Geräte, um sich unbefugten Zugriff auf das Netzwerk zu verschaffen.
- Wohn-Proxies. Um ihre wahre Herkunft zu verbergen und der Entdeckung zu entgehen, APT29 nutzt private Proxys, um böswilligen Datenverkehr zu maskieren, Dadurch ist es nicht von legitimen Benutzeraktivitäten zu unterscheiden. Durch Nutzung von IP-Adressen innerhalb des Internetdienstanbieters (ISP) Bandbreiten für private Breitbandkunden, Die Bedrohungsakteure tarnen ihre Operationen effektiv.
Abschließend, die gemeinsame Beratung dient als Beweis für die gemeinsamen Bemühungen der Cybersicherheitsbehörden bei der Bewältigung komplexer Cyberbedrohungen. Indem wir die Taktiken von APT29 enthüllen und umsetzbare Erkenntnisse liefern, Die Empfehlung ermöglicht es Organisationen, ihre Abwehrmaßnahmen zu verbessern und sich gegen die allgegenwärtige Bedrohung durch staatlich geförderte Cyberspionage zu schützen.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: