logo ntadmins

Cozy Bear: Entlarvung des jahrzehntelangen Spionagearsenals

31. Oktober 2023
Scam Virus Spyware Malware Antivirus Concept
Quelle: Rawpixel.com, Adobe Stockphoto

Der bekannte staatlich gesponserte Advanced Persistent Threat (APT) Cozy Bear wird mit Russland in Verbindung gebracht und ist weiterhin aktiv. Er stellt eine ernsthafte Bedrohung für Unternehmen dar. Logpoint hat die Taktiken, Techniken und Verfahren (TTPs) analysiert und unterstützt Unternehmen dabei, den Angreifer zu entdecken.

Bereits seit 2018 ist Cozy Bear aktiv und wurde durch eine Reihe von Cyber-Angriffen auf höchster Ebene bekannt. Dazu zählen die Angriffe auf SolarWinds im Jahr 2020 und auf das Democratic National Committee im Jahr 2016. Die Gruppe steht in Verbindung mit dem russischen Auslandsgeheimdienst (SVR) und hat es auf Regierungen, Nichtregierungsorganisationen, Unternehmen, Denkfabriken und andere hochrangige Ziele abgesehen. Ihr Hauptziel besteht darin, Informationen und Geheimdienstinformationen auszuspähen und zu stehlen.

„Cozy Bear zeichnet sich durch eine bemerkenswerte Konsistenz in ihren Techniken aus und hat nur gelegentliche Anpassungen vorgenommen“, erklärt Swachchhanda Shrawan Poudel von Logpoint. „Was auffällt, ist ihre Fähigkeit, wiederholt erfolgreiche Kampagnen durchzuführen, offensichtlich ohne die Techniken zu ändern oder auf wesentliche Probleme oder Rückschläge zu stoßen. Die ungebrochene Widerstandsfähigkeit und Effektivität ihrer Operationen unterstreicht die Raffinesse und Anpassungsfähigkeit von Cozy Bear als Bedrohungsakteur.“

Im September 2023 berichtete Mandiant, dass Cozy Bear mit einer Phishing-Kampagne aktiv war, die auf Botschaften in der Ukraine abzielte. Phishing-E-Mails sind ein gemeinsames Element der Kampagnen von Cozy Bear, aber es gibt Unterschiede in der Art und Weise, wie die Malware eingesetzt wird. Die Gruppe verbreitet Malware durch HTML-Schmuggel und bösartige ISO-Images. MITRE ATT&CK empfiehlt, das Auto-Mounting für Disk-Image-Dateien zu deaktivieren und bestimmte Container-Dateitypen zu blockieren.

Zielvorgaben der Malware

Die Ziele von Cozy Bear sind nicht finanzieller Natur. Der Bericht von Logpoint hebt hervor, dass die Gruppe auf eine heimtückische Hartnäckigkeit setzt, die es ihr ermöglicht, sich über längere Zeiträume hinweg heimlich Zugang zu Systemen zu verschaffen.

Währenddessen exfiltriert sie vertrauliche und sensible Daten, was die Entdeckung durch Sicherheitsexperten erschwert, da dieser Ansatz die Verfügbarkeit von Telemetrie einschränkt, die Entdeckungsmechanismen auslösen könnte.

„Da die Gruppe heimlich agiert, ist es schwierig, Cozy Bear aufzuspüren. Die einzige Möglichkeit besteht darin, sie mit proaktiven Anzeichen für bekannte Persistenztechniken zu suchen“, sagt Swachchhanda Shrawan Poudel. „Für Unternehmen, insbesondere kleine und mittlere, ist die Identifizierung von APT-Gruppen und ihren Vorgehensweisen eine Herausforderung, da eine riesige Menge an Informationen gesichtet werden muss. Dennoch ist es wichtig, Wege zu finden, um über die aktivsten APT-Gruppen, ihre Taktiken, Methoden und Verfahren auf dem Laufenden zu bleiben.“

Die Sicherheitsplattform von Logpoint, Converged SIEM, umfasst Funktionen zur Erkennung, Analyse und Abschwächung der Auswirkungen von Bedrohungen einschließlich APTs. Sie ermöglicht es Sicherheitsteams, wichtige Incident-Response-Verfahren zu automatisieren, Protokolle und Daten zu sammeln und die Erkennung und Beseitigung von Malware zu beschleunigen. Das geschieht unter anderem durch den Einsatz der nativen Endpunktlösung AgentX und vorkonfigurierten Playbooks für SOAR. (rhh)

Logpoint

Lesen Sie auch

Internet, business, Technology and network concept Hacking Detected Concept meaning activities that seek to compromise affairs are exposed Entering New Programming Codes d illustration

Bedrohungserkennung: EDR und/oder SIEM?

ai pixabay Alexandra Koch NT

Mit KI Angriffe auf die IT präventiv bannen

data NT Kris

Cyber-Bedrohungen während der Urlaubszeit minimieren