Thought Leadership
Forest Blizzard alias APT28 zielt in letzter Zeit vor allem auf Einrichtungen der NATO, mit ihr verbundene Organisationen und Institutionen, Organisationen in der Luft- und Raumfahrt und im Verteidigungssektor, Regierungsbehörden, das Gastgewerbe, internationale Sportverbände und die Medien ab.
Darüber hinaus wurde Forest Blizzard bei der Durchführung von Cyberoperationen während des Krieges zwischen Russland und der Ukraine beobachtet, was den strategischen Zielen Russlands entgegenkommt. Die Gruppe zielt hauptsächlich auf Organisationen in Europa, dem Südkaukasus, Zentralasien sowie Nord- und Südamerika ab.
Auch bekannt als Fancy Bear, Pawn Storm, Sednit Gang, Sofacy Group, BlueDelta, und STRONTIUM investiert die Gruppe viel Geld und Aufwand in die Ausarbeitung äußerst glaubwürdiger Social-Engineering-Angriffe. Dies macht sie besonders geschickt bei der Umgehung herkömmlicher Sicherheitsmaßnahmen.
Seit 2004 operiert die Gruppe und verändert dabei immer wieder ihre Strategien und Taktiken. Sie wurde dabei beobachtet, wie sie eine Vielzahl von Techniken anwendet, z. B. Spear-Phishing-E-Mails, Köderdokumente, in denen sie sich als Regierungs- und Nichtregierungsorganisationen (NGOs) ausgeben, das Sammeln von Anmeldeinformationen über gefälschte Websites, das Ausnutzen von Zero-Day-Schwachstellen und die Entwicklung maßgeschneiderter Malware.
In letzter Zeit hat sie nach Informationen des ukrainischen CERT-UA eine kritische Energieinfrastruktur in der Ukraine angegriffen. Sie hatten Phishing E-Mails mit gefälschten Absenderadressen und als Archive getarnten Links, wie „photo.zip“, verschickt. Klickt ein Nutzer auf den Link, lädt sich eine ZIP-Datei herunter, die gefälschte JPG-Bilder und ein bösartiges Batch-Skript enthält. Im weiteren Verlauf werden Remote-Befehle über „curl“ über die legitime API des webhook.site-Dienstes ermöglicht. Am Ende werden Tasks erstellt, die ein VBS-Skript mit einer BAT-Datei als Argument ausführen. In weiteren Kampagnen nutzte die Gruppe SmokeLoader, Nanocore RAT, Crimson RAT und Agent Tesla.
Zu den Automatisierungs- und Orchestrierungsfunktionen von Logpoint gehören mehrere Playbooks zur Rationalisierung und Automatisierung von Incident Response und Untersuchungsverfahren. Diese Playbooks decken eine breite Palette von Echtzeit-Anwendungsfällen für forensische Untersuchungen und Abhilfemaßnahmen ab und erhöhen die Effizienz und Effektivität des Managements von Sicherheitsvorfällen. Mit AgentX, Logpoints nativem Agenten mit Endpoint Observability-Funktionen, der durch Automatisierung und Orchestrierung unterstützt wird, wird die proaktive Erkennung und Behebung von Sicherheitsvorfällen einfacher und schneller als je zuvor.
Ujwal Thapa, Security Researcher bei Logpoint
