Peneliti merinci teknik intrusi Rusia Cozy Bear baru – Keamanan
Technology

Peneliti merinci teknik intrusi Rusia Cozy Bear baru – Keamanan

Kelompok peretas Cozy Bear atau Advanced Persistent Threat 29 yang terkait dengan pemerintah Rusia melanjutkan kegiatan pengintaian mereka, menggunakan beberapa teknik intrusi tersembunyi baru yang memungkinkan mereka tetap tidak terdeteksi di jaringan korban, menurut para peneliti.

Vendor keamanan Crowdstrike menerbitkan analisis terperinci dari kampanye StellarParticle, mendokumentasikan teknik seperti pencurian cookie browser untuk melewati multi-factor authenticaiton (MFA) dan malware Windows dan Linux baru.

Cozy Bear juga akan melakukan “lompatan kredensial” dengan masuk ke sistem yang menghadap publik melalui perangkat lunak akses jarak jauh Secure Shell (SSH), menggunakan akun lokal yang diambil selama aktivitas pencurian kredensial sebelumnya, kata Crowdstrike.

Setelah masuk melalui SSH, peretas dapat mem-port-forward sesi Remote Desktop Protocol (RDP) ke server internal, menggunakan akun layanan domain, vendor keamanan mencatat.

Ini memungkinkan peretas untuk membuat sesi RDP lebih lanjut ke server internal lainnya, menggunakan akun administrator domain, dan masuk ke Office 365 dengan akses istimewa ke sumber daya cloud, kata Crowdstrike.

Melompati kredensial dan menggunakan pencurian cookie browser Chrome untuk melewati MFA yang melindungi sumber daya cloud keduanya sulit dideteksi karena peretas menggunakan keamanan operasional yang ketat untuk menyembunyikan aktivitas mereka, tetapi Crowdstrike tetap dapat menangkap beberapa artefak yang ditinggalkan oleh pelaku ancaman.

Sebuah malware baru, TrailBlazer dengan prevalensi rendah untuk Windows yang menyamarkan kontrol dan perintah lalu lintas sebagai permintaan HTTP Google Notifications yang sah juga ditemukan oleh Crowdstrike.

Crowdstrike juga menemukan varian Linux dari pintu belakang Windows GoldMax yang dikerahkan pada pertengahan 2019.

Teknik intrusi dan pencurian kredensial lainnya yang digunakan dalam kampanye StellarParticle menunjukkan tingkat kecanggihan dan keahlian yang tinggi kepada penyerang yang membantu mereka menghindari deteksi selama bertahun-tahun.

“Kampanye StellarParticle, yang terkait dengan grup musuh COZY BEAR, menunjukkan pengetahuan luas aktor ancaman ini tentang sistem operasi Windows dan Linux, Microsoft Azure, O365, dan Active Directory, serta kesabaran dan keterampilan rahasia mereka untuk tetap tidak terdeteksi selama berbulan-bulan — dan dalam beberapa kasus, bertahun-tahun,” kata peneliti Crowdstrike.

Tujuan Cozy Bear dengan kampanye StellarParticle tampaknya mengumpulkan informasi sensitif tentang layanan dan produk yang disediakan oleh organisasi korban, kata Crowdstrike.

Ini termasuk para peretas yang melihat dokumen operasi bisnis internal, dan penyimpanan pengetahuan internal seperti Wiki.

Kampanye StellarParticle sedang berlangsung, kata Crowdstrike, dan terkait dengan implan Sunspot yang ditemukan dalam peretasan rantai pasokan SolarWinds yang dipublikasikan dengan baik, pada Desember 2020.

Pakar keamanan dan pemerintah Amerika Serikat telah mengaitkan serangan peretasan Cozy Bear dengan Badan Intelijen Asing Rusia.

Posted By : pengeluaran hk hari ini 2021