Beobachtungen
Microsoft hat eine seit mindestens 2021 andauernde, globale Cyberangriffskampagne, auch bekannt als "BadPilot-Kampagne", der Gruppierung
Seashell Blizzard aufgedeckt. Die Angriffe zielen auf Sektoren wie Energie, Öl und Gas, Telekommunikation, Schifffahrt, die
Rüstungsindustrie und internationale Regierungen ab. Auch Ziele in Deutschland gerieten ins Visier der Angreifer.
Hintergrund und Methoden
Neben Phishing-Angriffen nutzt die Gruppe bekannte Schwachstellen (CVE) aus, um sich Zugang zu den Zielsystemen zu verschaffen. Nach der
Kompromittierung eines Systems nutzen die Angreifer beispielsweise Web Shells oder IT-Remote-Management-Tools, um sich lateral durch das
Netzwerk zu bewegen, weitere Systeme zu kompromittieren und ihre Zugriffsrechte zu erweitern. Es werden auch Techniken zur Verschleierung
des eigentlichen Angriffs sowie zur Erlangung von Persistenz für etwaige spätere Angriffe angewandt.
Zu den ausgenutzten Schwachstellen zählen die CVE-2021-34473 (Microsoft Exchange), CVE-2022-41352 (Zimbra Collaboration Suite), CVE-2023-32315 (OpenFire), CVE-2023-42793 (JetBrains TeamCity), CVE-2023-23397 (Microsoft Outlook), CVE-2024-1709 (ConnectWise ScreenConnect) und CVE-2023-48788 (Fortinet FortiClient EMS).
Attribution
Bei Seashell Blizzard, auch bekannt unter dem Namen Sandworm, handelt es sich um eine Untergruppierung von APT44, welche Bezüge zum
russischen Staat hat. Wir haben bereits in der Vergangenheit in mehreren Sicherheitshinweisen über die Ausnutzung der oben genannten
Schwachstellen durch staatliche Akteure berichtet.
Empfehlungen
Microsoft stellt einen ausführlichen Bericht
mit Indicators of Compromise (IOCs) zur Verfügung. Wir empfehlen allen Organisationen, die eine oder mehrere der oben genannten
Software-Lösungen einsetzen, die eigenen Systeme auf eine mögliche Betroffenheit zu überprüfen. Aufgrund des hohen
Verbreitungsgrades der oben genannten Software-Lösungen gehen wir von Betroffenheiten auch in Baden-Württemberg aus.