Der bekannte staatlich gesponserte Advanced-Persistent-Threat, „Cozy Bear“, der mit Russland in Verbindung gebracht wird, ist weiterhin aktiv und stellt eine ernsthafte Bedrohung für Unternehmen dar. Cozy-Bear hat es auf Regierungen, Organisationen, Unternehmen, Denkfabriken und andere hochrangige Ziele abgesehen. Das Hauptziel besteht darin, Informationen und Geheimdienstinformationen auszuspähnen und zu stehlen. Logpoint hat die Taktiken, Techniken und Verfahren (analysiert und unterstützt Unternehmen dabei, den Angreifer zu entdecken.
„Cozy Bear zeichnet sich durch eine bemerkenswerte Konsistenz in ihren Techniken aus und hat nur gelegentliche Anpassungen vorgenommen“, erklärt Swachchhanda Shrawan Poudel. „Was auffällt, ist ihre Fähigkeit, wiederholt erfolgreiche Kampagnen durchzuführen, offensichtlich ohne die Techniken zu ändern oder auf wesentliche Probleme oder Rückschläge zu stoßen. Die ungebrochene Widerstandsfähigkeit und Effektivität ihrer Operationen unterstreicht die Raffinesse und Anpassungsfähigkeit von Cozy-Bear als Bedrohungsakteur.“
Erst im September 2023 berichtete Mandiant, dass Cozy-Bear mit einer Phishing-Kampagne aktiv war, die auf Botschaften in der Ukraine abzielte. Phishing-E-Mails sind ein gemeinsames Element der Kampagnen von Cozy-Bear, aber es gibt Unterschiede in der Art und Weise, wie die Malware eingesetzt wird. Die Gruppe verbreitet Malware durch HTML-Schmuggel und bösartige ISO-Images. MITRE ATT&CK empfiehlt, das Auto-Mounting für Disk-Image-Dateien zu deaktivieren und bestimmte Container-Dateitypen zu blockieren.
Die Ziele von Cozy-Bear sind nicht finanzieller Natur. Der Bericht von Logpoint hebt hervor, dass die Gruppe auf eine heimtückische Hartnäckigkeit setzt, die es ihr ermöglicht, sich über längere Zeiträume hinweg heimlich Zugang zu Systemen zu verschaffen. Währenddessen exfiltriert sie vertrauliche und sensible Daten, was die Entdeckung durch Sicherheitsexperten erschwert, da dieser Ansatz die Verfügbarkeit von Telemetrie einschränkt, die Entdeckungsmechanismen auslösen könnte.
„Da die Gruppe heimlich agiert, ist es schwierig, Cozy-Bear aufzuspüren. Die einzige Möglichkeit besteht darin, sie mit proaktiven Anzeichen für bekannte Persistenztechniken zu suchen“, sagt Swachchhanda Shrawan Poudel. „Für Unternehmen, insbesondere kleine und mittlere, ist die Identifizierung von APT-Gruppen und ihren Vorgehensweisen eine Herausforderung, da eine riesige Menge an Informationen gesichtet werden muss. Dennoch ist es wichtig, Wege zu finden, um über die aktivsten APT-Gruppen, ihre Taktiken, Methoden und Verfahren auf dem Laufenden zu bleiben.“
Die Sicherheitsplattform von Logpoint, Converged-SIEM, umfasst Funktionen zur Erkennung, Analyse und Abschwächung der Auswirkungen von Bedrohungen einschließlich APTs. Sie ermöglicht es Sicherheitsteams, wichtige Incident-Response-Verfahren zu automatisieren, Protokolle und Daten zu sammeln und die Erkennung und Beseitigung von Malware zu beschleunigen. Das geschieht unter anderem durch den Einsatz der nativen Endpunktlösung AgentX und vorkonfigurierten Playbooks für SOAR.
Info: Der vollständige Bericht von Logpoint über Cozy-Bear und Informationen zu Aktivitäten von Cozy-Bear, Sicherheitsmaßnahmen und -begrenzungen sowie die Erkennung lassen sich via nachfolgendem Link nachlesen: https://www.logpoint.com/en/blog/emerging-threat/apt29-cozy-bear/
#Logpoint
