Evgeny_V – shutterstock.com
Das Team von Amazon Threat Intelligence stellte fest, dass eine vom russischen Staat geförderte Cyberspionagegruppe vermehrt Energieunternehmen und Anbieter kritischer Infrastrukturen (KRITIS) ins Visier genommen hat.
Die Gruppe ist demnach seit mindestens 2021 aktiv und hat es vor allem auf Fehlkonfigurationen von Geräten abgesehen. Die Angreifer nutzen aber auch bekannte Schwachstellen wie CVE-2022-26318 in WatchGuard Firebox- und XTM-Geräten, CVE-2021-26084 und CVE-2023-22518 in Confluence oder CVE-2023-2753 in Veeam Backup aus.
Laut den von Amazon gesammelten Telemetriedaten hat sich die Gruppe in diesem Jahr jedoch stark auf Fehlkonfigurationen konzentriert und sich von Zero-Day- oder N-Day-Schwachstellen abgewendet. Die Hauptziele waren demnach Enterprise Router und Routing-Infrastrukturen, VPN-Konzentratoren und Remote-Access-Gateways, Netzwerkmanagement-Appliances, Kollaborations- und Wiki-Plattformen sowie Cloud-basierte Projektmanagementsysteme.
„Diese taktische Anpassung ermöglicht die gleichen operativen Ergebnisse, nämlich das Sammeln von Anmeldedaten und laterale Bewegungen innerhalb der Online-Dienste und Infrastrukturen der Opfer, während gleichzeitig die Entdeckungsgefahr und der Ressourcenaufwand der Akteure reduziert werden“, so die Security-Spezialisten.
Verbindungen zu Sandworm und Curly COMrades
Die Telemetriedaten zeigen, dass es Überschneidungen zwischen der Infrastruktur der Gruppe und Sandworm gibt, die auch als APT44 und Seashell Blizzard bekannt ist und mit dem russischen Militärgeheimdienst GRU in Verbindung steht. Zudem besteht ein Zusammenhang mit einer Gruppe, deren Aktivitäten in der Vergangenheit von Bitdefender unter dem Namen Curly COMrades dokumentiert wurden.
Es könnte sich jedoch um zusammenarbeitende Untergruppen innerhalb des GRU handeln: Während die von Amazon verfolgte Gruppe den ersten Zugriff und die laterale Bewegung übernimmt, stellt Curly COMrades die Persistenz des Hosts durch seine benutzerdefinierten Malware-Implantate CurlyShell und CurlCat sicher.
Amazon entdeckte Angriffe auf Netzwerk-Edge-Geräte von Kunden, die auf AWS-EC2-Instanzen gehostet werden. Dabei stellten die Angreifer über von ihnen kontrollierte IP-Adressen dauerhafte Verbindungen her. Dies deutet auf einen interaktiven Zugriff auf die kompromittierten Geräte hin.
Abgriff von Anmeldedaten
Die Sicherheitsforscher beobachteten auch Credential-Replay-Angriffe auf andere Online-Dienste der Opfer, bei denen gestohlene Domain-Anmeldedaten nach der Kompromittierung von Netzwerk-Edge-Geräten verwendet wurden. Das Amazon-Team geht davon aus, dass die Täter Anmeldedaten sammeln, indem sie die Funktionen der kompromittierten Geräte zur Erfassung und Analyse des Datenverkehrs nutzen.
„Die zeitliche Lücke zwischen der Kompromittierung der Geräte und den Authentifizierungsversuchen gegen die Dienste der Opfer deutet eher auf eine passive Sammlung als auf einen aktiven Diebstahl von Anmeldedaten hin“, heißt es im Forschungsbericht.
Beim Abfangen des Netzwerkverkehrs gehen die Angreifer ähnlich vor wie Sandworm. Die gezielte Ausrichtung auf Netzwerk-Edge-Geräte versetzt sie dabei in die Lage, Anmeldedaten während der Übertragung abzufangen.
Tipps zum Schutz für KRITIS-Betreiber
Die Gruppe konzentriert sich stark auf den Energiesektor. Dazu zählen zudem MSSPs (Managed Security Service Provider) mit Kunden aus der Energieversorgung. Die Angreifer haben jedoch auch Technologie- und Cloud-Dienstleister sowie TK-Anbieter in mehreren Regionen ins Visier genommen.
Amazon rät Unternehmen, ihre Netzwerk-Edge-Geräte auf unauthorisierte Packet Capture Files oder -Dienstprogramme zu überprüfen. Zudem wird empfohlen, Gerätekonfigurationen zu checken und Verwaltungsschnittstellen zu isolieren sowie eine Multi-Faktor-Authentifizierung zu implementieren.
Unternehmen sollten außerdem Authentifizierungsprotokolle prüfen und Authentifizierungsversuche aus unerwarteten geografischen Standorten überwachen. Zudem empfiehlt sich, eine Anomalieerkennung für Authentifizierungsmuster für alle Online-Dienste zu implementieren. Auch die Verwendung von Klartextprotokollen, die Anmeldedaten während der Übertragung offenlegen könnten, sollte kontrolliert werden.
Der Amazon-Bericht enthält zudem Indikatoren für Kompromittierungen im Zusammenhang mit dieser Angriffskampagne sowie spezifische Sicherheitsempfehlungen speziell für AWS-Umgebungen. (jm)
No Responses