Cybersicherheits- und Geheimdienstagenturen der Five Eyes-Nationen haben gemeinsam einen Hinweis veröffentlicht, der die sich entwickelnden Taktiken des russischen staatlich unterstützten Bedrohungsakteurs APT29 detailliert beschreibt. Die Hackergruppe, auch bekannt als BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard (ehemals Nobelium) und The Dukes, wird als mit dem Auslandsnachrichtendienst (SVR) der Russischen Föderation verbunden eingestuft. Zuvor auf die Lieferkettenkompromittierung der SolarWinds-Software zurückgeführt, hat die Cyber-Spionagegruppe in den letzten Monaten die Aufmerksamkeit auf sich gezogen, indem sie Microsoft, Hewlett Packard Enterprise (HPE) und andere Organisationen ins Visier genommen hat, um ihre strategischen Ziele voranzutreiben.
„Da Organisationen ihre Systeme weiter modernisieren und auf Cloud-Infrastruktur umstellen, hat sich der SVR an diese Änderungen im Betriebsumfeld angepasst“, so der Sicherheitshinweis.
Zu den Taktiken gehören:
– Zugriff auf Cloud-Infrastruktur über Service- und schlummernde Konten durch Brute-Force- und Passwort-Spraying-Angriffe, Abkehr vom Ausnutzen von Software-Schwachstellen in On-Premise-Netzwerken
– Verwendung von Tokens zum Zugriff auf Opferkonten ohne die Notwendigkeit eines Passworts
– Einsatz von Passwort-Spraying und Credential-Reuse-Techniken, um die Kontrolle über persönliche Konten zu erlangen, Einsatz von Prompt-Bomben, um die Anforderungen an die Multi-Faktor-Authentifizierung (MFA) zu umgehen, und dann Registrierung ihres eigenen Geräts, um Zugriff auf das Netzwerk zu erhalten
– Erschwerung der Unterscheidung von bösartigen Verbindungen zu typischen Benutzern, indem sie Wohnungsproxys verwenden, um den bösartigen Datenverkehr so erscheinen zu lassen, als käme er von IP-Adressen innerhalb der Internetdienstanbieter (ISP)-Bereiche für Heim-Breitbandkunden und ihre wahren Ursprünge zu verbergen