Василий Григорьев, генеральный директор Lizard Soft
Денис Розумейко, Microsoft 365 Engineer Lizard Soft
В связи с длительной российской агрессией против Украины и сотрудничеством Microsoft с глобальными партнерами мир столкнулся с ростом эпизодов кибератак со стороны российских государственных акторов. Они используют различные подходы и средства, убеждающие в стремительном развитии киберпреступности в условиях гибридной войны. В этом блоге мы рассматриваем действия угрозы, известной как Cadet Blizzard, направленные на осуществление деструктивных атак, шпионажа и информационных операций.
Кто такие Cadet Blizzard
Cadet Blizzard – это кибергруппировка, спонсируемая российским государством и имеющая отношение к Главному управлению генерального штаба ВС РФ (ГРУ). По данным Microsoft, Cadet Blizzard отделена от других известных групп, таких как Forest Blizzard (STRONTIUM) и Seashell Blizzard (IRIDIUM), также связанных с ГРУ.
Microsoft отслеживает деятельность Cadet Blizzard с января 2022, но считает, что они функционируют с 2020 года. Их операции включают разрушительные атаки, шпионаж и информационные операции на системы Украины и других государств.
Lizard Soft, как сертифицированный партнер Microsoft, активно работает над вопросами кибербезопасности и помогает защититься от уязвимостей, таких как те, что используются Cadet Blizzard.
Кто является мишенями Cadet Blizzard
Операции Cadet Blizzard носят глобальный характер, но больше всего касаются Украины, Европы, Центральной Азии и периодически Латинской Америки. Основные целевые секторы кибератак – онлайн-ресурсы правительственных организаций и поставщиков информационных технологий в Украине. В то же время мишенями стали и организации в Европе и Латинской Америке.
Как происходит проникновение
Cadet Blizzard достигает исходного доступа, используя уязвимости веб-серверов, обычно расположенных на сетевых периметрах и DMZ.
Известно также и об атаках на серверы Confluence из-за уязвимости CVE-2021-26084, серверов Exchange из-за ряда уязвимостей, включая CVE-2022-41040 и ProxyShell.
Для обеспечения постоянного доступа к сети жертвы Cadet Blizzard использует веб-шеллы (например P0wnyshell, reGeorg, PAS), а также собственные варианты, входящие в публично доступные комплекты эксплойтов.
Кроме того, преступники из Cadet Blizzard осуществляют эскалацию привилегий и сбор учетных данных, используя различные техники: например, хранение LSASS, хранение регистрационных файлов и т.д.
Какие уязвимости эксплуатируются
- Уязвимость серверов Confluence CVE-2021-26084.
- Уязвимости серверов Exchange, включая CVE-2022-41040 и ProxyShell.
Рекомендации по защите от атак
- Устанавливайте последние обновления и патчи безопасности на операционную систему. Следите за последней версией антивирусного ПО с последними обновлениями вирусных баз. Используйте лицензионное ПО.
- Используйте централизованные средства защиты и мониторинга, такие как Microsoft Defender for Endpoint.
- Просмотрите всю деятельность аутентификации для инфраструктуры дистанционного доступа, в частности для учетных записей, настроенных на однофакторную аутентификацию.
- Включите многофакторную аутентификацию (MFA) для всех пользователей. Напомним, что базовый MFA есть во многих планах Microsoft 365. Расширенные возможности можно получить, приобретя Azure Active Directory Premium Plan 1 или выше.
- Включите контролируемый доступ к папкам (CFA) для предотвращения модификации MBR/VBR.
- Блокируйте создание процессов, возникающих от команд PSExec и WMI, для остановки бокового движения.
- Включите защиту, предоставляемую Microsoft Defender Antivirus или эквивалентный продукт для борьбы с быстро меняющимися инструментами и методами злоумышленников.
Первые шаги в случае подозрения о взломе системы
- Немедленно проинформировать свой ИТ-отдел и вашего доверенного партнера – компанию Lizard Soft. Напомним: в рамках нашего Premier Support-контракта с Microsoft мы можем способствовать скорейшему подключению необходимых для реакции на инцидент ресурсов с самым высоким приоритетом.
- Принять меры по изоляции скомпрометированных систем и сети.
- Изменить пароли и включить многофакторную аутентификацию.
- Запустить антивирусное сканирование на всех системах.
- Сотрудничать с органами расследования и специалистами по кибербезопасности для анализа и ремедиации инцидента.
Lizard Soft внимательно отслеживает известные случаи кибератак и анализирует известные кейсы проникновения в IT-системы.
Мы все понимаем, что подобные атаки не прекратятся. Следовательно наша задача – быть готовыми заранее: проанализировать инфраструктуру, определить уязвимости, принять меры по снижению рисков и всегда быть на расстоянии одного клика от специалистов по кибербезопасности.
Не ждите взлома ваших данных – исключите его: в вашем распоряжении – опыт и знания лучших специалистов по кибербезопасности в мире, специалистов Microsoft; и самые совершенные системы киберзащиты, которые Lizard Soft активирует в рамках Premier Support-контракта с Microsoft.
Свяжитесь с нами для анализа и определения дальнейших шагов по максимальному повышению уровня безопасности ваших IT-систем.
По материалам Microsoft.com