Cozy Bear: Afdækning af berygtet cybergruppes arsenal
Hjem sikkerhed Cozy Bear: Afdækning af berygtet cybergruppes arsenal

Cozy Bear: Afdækning af berygtet cybergruppes arsenal

Af Redaktionen

Cozy Bear blev først beskrevet i 2008 og mistænkes for en række højt profilerede cyberangreb, såsom SolarWinds i 2020 og Demokraternes Nationale Komité i USA i 2016.

Gruppen menes at være knyttet til den russiske efterretningstjeneste SVR og målretter sine angreb mod myndigheder, NGO’er, virksomheder, tænketanke og andre højt profilerede mål for at spionere og stjæle information.

Logpoint har udfærdiget en rapport, der folder truslen ud og giver råd til beskyttelse.

”Cozy Bear udmærker sig ved gentagne gange at lykkes med at gennemføre kampagner, tilsyneladende uden at ændre deres teknikker eller støde på nogen problemer eller tilbageslag af betydning,” siger Swachchhanda Shrawan Poudel, Logpoint Security researcher.

”Deres modstandsdygtighed og effektivitet understreger, hvor sofistikerede Cozy Bears er, og deres evne til at tilpasse sig som trusselsaktør.”

Så sent som september 2023 rapporterede Mandiant, at Cozy Bear var aktiv med en phishing-kampagne, målrettet ambassader i Ukraine. Phishing-e-mails går igen i Cozy Bears kampagner, men der er variationer i måden malware udrulles på. Gruppen distribuerer malware ved hjælp af såkaldt HTML smuglling og ondsindede (weponiserede) ISO-filer. MITRE ATT&CK foreslår at deaktivere automatisk montering af diskbilledfiler og blokere visse typer containerfiler.

Cozy Bears er ikke økonomisk motiverede. Logpoints rapport understreger, at gruppen prioriterer at skjule sig og bevare adgang i længere perioder, mens de eksfiltrerer fortrolige og følsomme data. Det gør det svært for sikkerhedsfolk at opdage gruppen i systemet, da deres tilgang begrænser mængden af telemetri, der kan sætte gang i alarmer.

Cozy Bear: Afdækning af berygtet cybergruppes arsenal“Cozy Bears lyssky karakter betyder, at den eneste holdbare måde at opdage dem på er at søge proaktivt efter indikatorer på, at deres kendte teknikker er i brug i systemet,” siger Swachchhanda Shrawan Poudel. “Det er en udfordring for organisationer at jagte trusler effektitv, især for små og mellemstore virksomheder, fordi man er nødt til at gennemgå enorme mængder data. Men det er simpelthen afgørende at at holde sig ajour med de mest aktive APT-grupper og deres TTP’er i en eller anden udstrækning.”

Læs Logpoints fulde rapport om Cozy Bear her og få et indblik i Cozy Bears aktiviteter og hvilke sikkerhedsforanstaltninger, der kan afhjælpe truslen.

 

Relaterede artikler

Vi bruger cookies og andre identifikatorer for at forbedre din oplevelse. Dette giver os mulighed for at sikre din adgang, analysere dit besøg på vores hjemmeside. Det hjælper os med at tilbyde dig personlig indhold og nem adgang til nyttige oplysninger. Klik på "Jeg accepterer" for at acceptere vores brug af cookies og andre identifikatorer eller klik på "Flere oplysninger" for at justere dine valg. jeg godkender Flere oplysninger >>