Operacija FrostBeacon cilja Rusiju

AUTOR ·

FrostBeacon operacija donosi sveobuhvatnu analizu dva različita klastera i otkriva usklađene napore zlonamjernih aktera usmjerenog na finansijska odjeljenja, pravne timove i korporativne poštanske sandučiće širom Ruske Federacije. Istraživanje kompanije Seqrite ukazuje da ovakve aktivnosti dodatno naglašavaju potrebu za jačim bezbjednosnim protokolima u sektorima koji su na meti.

FrostBeacon

Operacija FrostBeacon cilja Rusiju; Source: Bing Image Creator

OPERACIJA FROSTBEACON

Operacija FrostBeacon predstavlja višestepenu akciju osmišljenu za prikrivenost i istrajnost, koristeći moćni alat za daljinski pristup (eng. remote access tool – RAT) Cobalt Strike. Ovakav usklađeni napor ukazuje na napredno razumijevanje načina razvoja i raspoređivanja zlonamjernog softvera.

Primarni cilj operacije FrostBeacon djeluje kao krađa podataka u finansijskom i pravnom sektoru, uz nastojanje da se održi stalni pristup ciljevima visoke vrijednosti. Ovakav pristup pokazuje jasno poznavanje slabosti prisutnih u ovim oblastima, što zlonamjernim akterima omogućava da prilagode svoju taktiku. Time se dodatno naglašava značaj zaštite finansijskih i pravnih podataka od neovlaštenog pristupa, dok identifikacija kampanje ukazuje na potrebu jačanja odbrane od naprednih trajnih prijetnji (eng. advanced persistent threat – APT).

Sigurnosni istraživači otkrili su više od dvadeset različitih početnih datoteka infekcije povezanih sa operacijom FrostBeacon, što govori o širokoj i raznovrsnoj površini napada koju koriste zlonamjerni akteri. Ovakav obim pripremnog rada pokazuje složenost kampanje i resurse koji stoje iza nje.

Upotreba većeg broja početnih datoteka infekcije ukazuje na različite taktike ulaska u ciljane sisteme. Ova raznolikost može biti usmjerena na izbjegavanje otkrivanja ili stvaranje dodatne zabune među bezbjednosnim stručnjacima koji pokušavaju da odgovore na prijetnju. Istovremeno, sam broj otkrivenih datoteka naglašava širinu i složenost operacije FrostBeacon.

Kako sigurnosni istraživači nastavljaju da prikupljaju nove podatke o operaciji FrostBeacon, postaje sve jasnije da je razumijevanje njenih zamršenosti ključno za zaštitu organizacija od sličnih napada u budućnosti.

 

Cobalt Strike

Cobalt Strike je alat za ispitivanje bezbjednosnih propusta i sprovođenje simulacije napada, koji je stekao zloglasnost zbog zloupotrebe od strane zlonamjernih aktera. U središtu isporuke sadržaja u operaciji FrostBeacon nalazi se upravo ovaj moćni alat, koji služi kao snažan mehanizam za udaljeni pristup (RAT). Njegove mogućnosti čine ga privlačnim izborom za aktere koji žele da ugroze računarske sisteme i mreže.

Jedna od ključnih funkcija Cobalt Strike alata jeste udaljeno izvršavanje kôda, što zlonamjernim akterima omogućava pokretanje proizvoljnih naredbi na kompromitovanim sistemima. Time stiču kontrolu nad ciljanim uređajima, olakšavajući dalje iskorištavanje i bočno kretanje kroz mrežu. Svestranost u izvršavanju kôda čini ovaj alat posebno vrijednim za aktere koji žele da ostvare svoje ciljeve.

Pored toga, Cobalt Strike omogućava i bočno kretanje, što zlonamjernim akterima daje mogućnost da šire infekciju kroz mrežu. Ova funkcija im dozvoljava da se kreću unutar infrastrukture organizacije, ugrožavajući više sistema i povećavajući ozbiljnost napada. Sposobnost alata da se neprimjetno kreće kroz mreže čini ga ozbiljnim izazovom za tradicionalne bezbjednosne mehanizme.

Postojanost Cobalt Strike alata predstavlja još jedan važan element njegove efikasnosti u operaciji FrostBeacon. Uspostavljanjem uporišta na kompromitovanim sistemima, zlonamjerni akteri mogu obezbijediti da njihovo prisustvo preživi ponovna pokretanja i pokušaje otkrivanja. Ova sposobnost im omogućava dugotrajan pristup ciljanim uređajima, olakšavajući stalno iskorištavanje i iznošenje podataka.

Iznošenje podataka jedan je od glavnih ciljeva brojnih sajber napada, uključujući i one povezane sa operacijom FrostBeacon. Mogućnosti Cobalt Strike alata omogućavaju krađu osjetljivih informacija iz mreža žrtava, ugrožavajući povjerljivost poslovnih procesa i vlasničkih podataka. Njegova sposobnost da izbjegne antivirusne softvere i sisteme za otkrivanje upada dodatno otežava napore da se ovakvi napadi uoče i spriječe.

Upotreba Cobalt Strike alata u operaciji FrostBeacon naglašava njegov potencijal kao prikrivenog mehanizma za isporuku zlonamjernog sadržaja (eng. payload). Korištenjem tehnika osmišljenih da zaobiđu uobičajene bezbjednosne mjere, zlonamjerni akteri mogu djelovati sa visokim stepenom prikrivenosti, što otežava otkrivanje organizacijama koje se oslanjaju na standardnu zaštitu. Ovaj aspekt ukazuje na potrebu za jačim bezbjednosnim mjerama i naprednijim strategijama za otkrivanje prijetnji.

 

Višestepeni lanac napada

Operacija FrostBeacon predstavlja naprednu kampanju sajber napada zasnovanu na višestepenom lancu, tipičnom za trajne prijetnje (APT). Početna faza obuhvata phishing poruke, iskorištavanje ranjivosti i zloupotrebu podataka za prijavu, čime se stvara uporište u sistemu.

Zlonamjerni akteri zatim koriste izvršne programe i učitavače kako bi prikriveno preuzeli dodatne alate. Faza pripreme uključuje izviđanje mrežne topologije i korisničkih naloga, dok se komunikacija odvija kroz C2 protokole radi prikrivanja aktivnosti. Završni korak je aktivacija Cobalt Strike alata, što omogućava potpunu daljinsku kontrolu nad inficiranim sistemima i pristup osjetljivim podacima.

Operacija FrostBeacon pokazuje finansijski motivisanu prijetnju grupe koja cilja organizacije odgovorne za plaćanja, ugovore, pomirenje i pravni rizik. Ekosistem aktera oslanja se na više domena pod kontrolom Rusije, postavljenih kao krajnje tačke komandovanja i kontrole, zajedno sa prilagođenim Cobalt Strike profilom koji se može mijenjati.

Taktika je napredna, sa više lanaca infekcije unutar svakog klastera koje su istraživači pratili tokom godine. Finansijska motivacija jasno se ogleda u usmjerenosti na organizacije koje upravljaju osjetljivim transakcijama. Sigurnosni istraživači identifikovali su preko dvadeset početnih datoteka infekcije povezanih sa operacijom FrostBeacon.

 

Prvi klaster: Phishing i arhivske datoteke

Phishing elektronska pošta koja se koristi za pokretanje napada osmišljena je da izgleda legitimno i često sadrži arhivske datoteke (ZIP ili RAR) u kojima se kriju zlonamjerne prečice. One mogu biti zamaskirane korištenjem formata sa dvostrukim ekstenzijama, što otežava njihovo prepoznavanje. Kada se klikne na takvu prečicu, pokreće se skrivena PowerShell komanda koja uspostavlja vezu sa udaljenim serverom, čime se otvara put za dalji razvoj napada.

Korištenje phishing elektronske pošte od strane zlonamjernih aktera predstavlja klasičnu taktiku u sajber napadima. Iskorištavanjem povjerenja i radoznalosti korisnika, oni uspijevaju da pokrenu napad bez izazivanja sumnje. Arhivske datoteke sa zlonamjernim prečicama upravo služe toj svrsi, jer omogućavaju izvršavanje kôda jednostavnim ubjeđivanjem korisnika da ih otvori.

Pored dvostrukih ekstenzija, zlonamjerni akteri mogu primjenjivati i druge taktike, poput lažnog prikazivanja adresa elektronske pošte ili izrade lažnih znakova organizacije, kako bi njihova elektronska pošta izgledala vjerodostojno. Ovakav nivo naprednosti otežava korisnicima i organizacijama da prepoznaju ovakve vrste napada.

Zlonamjerne prečice koje se koriste u operaciji FrostBeacon, kao što je već naglašeno, upravo kroz pomenutu PowerShell komandu uspostavljaju vezu sa udaljenim serverom prerušenim u datoteku slike. Na taj način lanac infekcije započet phishing porukom dobija svoju završnu formu, a činjenica da se takvi serveri često nalaze na domenima pod ruskom kontrolom dodaje napadu dodatnu složenost.

 

Drugi klaster: Iskorištavanje bezbjednosnih propusta

Pored korištenja phishing poruka elektronske pošte i zlonamjernih arhivskih datoteka, operacija FrostBeacon takođe iskorištava zastarjele bezbjednosne propuste koji u mnogim okruženjima ostaju neispravljeni. Drugi klaster posebno koristi CVE-2017-0199 ranjivost u šablonu za ubacivanje kôda, a povezuje je i sa starom Equation Editor ranjivošću CVE-2017-11882, čime se napad dodatno proširuje.

Korištenjem ovih ranjivosti kroz posebno pripremljene DOCX i RTF dokumente, zlonamjerni akteri mogu izvršiti kôd jednostavno tako što ubijede korisnika da otvori datoteku. Ova metoda oslanja se na povjerenje korisnika u Microsoft Office datoteke i njihovu sklonost da zanemare bezbjednosna upozorenja ili odgađaju ažuriranja, što zlonamjernim akterima ide u prilog.

Korištenje zastarjelih ranjivosti uopšteno je česta taktika među zlonamjernim akterima. Iskorištavanjem propusta za koje ispravke postoje godinama, ali nisu primijenjene, oni uspijevaju da zaobiđu savremene bezbjednosne mjere i dobiju pristup osjetljivim sistemima, čime se otvara prostor za dalju kompromitaciju.

U slučaju operacije FrostBeacon, pomenuta CVE-2017-0199 ranjivost u šablonu za ubacivanje kôda koristi se upravo na ovaj način: otvaranjem zlonamjerne DOCX datoteke zlonamjerni akteri dobijaju mogućnost izvršavanja kôda. Time se lanac infekcije započet phishing porukama nastavlja kroz iskorištavanje zastarjelih ranjivosti, a ovakav nivo prikrivanja i upornosti dodatno otežava organizacijama da na vrijeme otkriju napad.

 

Jedinstveni cilj

Bez obzira na ulaznu tačku, oba puta u operaciji FrostBeacon vode ka istom cilju: izvršavanju udaljene HTML aplikacije (HTA) datoteke. Ova datoteka pokreće snažno zamaskiran PowerShell učitavač, osmišljen da izbjegne otkrivanje od strane antivirusnih softvera, čime se otvara put za nastavak napada.

HTA datoteka se koristi kao oslonac za pokretanje sljedeće faze, pa njenim izvršavanjem zlonamjerni akteri uspijevaju da zaobiđu savremene bezbjednosne mjere i dobiju pristup osjetljivim sistemima. Na taj način lanac infekcije prelazi u završnu etapu.

Konačno, operacija FrostBeacon kulminira prikrivenim raspoređivanjem Cobalt Strike signala, koristeći zamaskirani PowerShell učitavač sa višeslojnim umetanjem kôdiranja radi izbjegavanja detekcije antivirusa. Učitavač prolazi kroz tri sloja kôdiranja, koji omogućavaju izvršavanje kôda za preuzimanje početnog modula, a zatim njegovo ubacivanje u legitimni proces.

Raspoređivanje Cobalt Strike signala time postaje ključna komponenta kampanje FrostBeacon protiv ciljanih meta. Dobijanjem pristupa osjetljivim sistemima, zlonamjerni akteri stiču mogućnost da ukradu vrijedne podatke i poremete poslovne operacije, čime se zatvara cijeli napadni ciklus započet phishing porukama i iskorištavanjem ranjivosti.

 

Ciljanje finansijskog i pravnog sektora

Namjerno fokusiranje na finansijska i pravna odjeljenja naglašava namjeru zlonamjernih aktera da pristupe veoma osjetljivim poslovnim transakcijama, vlasničkim informacijama i potencijalno ličnim podacima. Organizacije u ovim sektorima su po svojoj prirodi atraktivne mete zbog vrijednosti svojih podataka; one su glavni kandidati za špijunažu, krađu intelektualne svojine ili finansijske prevare.

Ovi sektori istovremeno igraju ključnu ulogu u olakšavanju ekonomske aktivnosti i održavanju društvenog reda. Ciljajući organizacije odgovorne za plaćanja, ugovore, pomirenje, pravni rizik i druge osjetljive funkcije, operacija FrostBeacon nastoji da ugrozi samu strukturu povjerenja na koju se ove industrije oslanjaju, čime se otvara prostor za destabilizaciju šireg sistema.

Sofisticiranost zlonamjernih aktera ne leži samo u njihovim alatima, već i u razumijevanju organizacione dinamike i individualnog ponašanja, koje precizno koriste da bi postigli uspjeh. Na taj način njihova namjera prevazilazi samu finansijsku dobit, jer se kroz ugrožavanje kritične infrastrukture u finansijama i pravu ostvaruje širi strateški cilj: narušavanje čitavih ekonomija i društava.

 

Infrastruktura i pripisivanje

Otkrivanje više od četrdeset sličnih URL adresa povezanih sa operacijom FrostBeacon dalo je značajne uvide u infrastrukturu koju koristi finansijski motivisana kriminalna grupa. URLupdate[.]ecols[.]ru”, koji preuzima završni Cobalt Strike signal, pokazuje način na koji zlonamjerni akteri koriste ciljane upite da pronađu slabosti u sistemima svojih meta. URL analizom istraživači su otkrili dodatne kampanje sa sličnim arhivama i dokumentima, kao i mamce na ruskom jeziku, što ukazuje na širi obim djelovanja.

Rezultati ukazuju da je infrastruktura operacije FrostBeacon povezana sa ruskim kriminalnim okruženjem. Registrovani domeni vode preko lokalnih registara poput RU-CENTER i REGRU, što potvrđuje da zlonamjerni akteri imaju iskustvo u korištenju domaćih pružalaca usluga. Upotreba mamaca kroz lažne domene služi prikrivanju stvarnih namjera i odvlačenju istraživača ka nebitnim metama, što je tipična praksa grupa koje žele da ostanu neprimijećene, a da ipak postignu ciljeve.

Sigurnosni istraživači u svojoj analizi opisuju grupu kao finansijski motivisanu i kao grupu koja koristi ruski jezik, povezanu sa kampanjama koje uključuju mamce i arhive na ruskom jeziku, te preko četrdeset domena registrovanih u Rusiji. Preklapanje taktika, tehnika i procedura sa onima koje koristi Cobalt Group dodatno potvrđuje ovu procjenu. Sličnosti nisu površne, već pokazuju dublje razumijevanje načina na koji ovakve grupe napadaju finansijske institucije širom svijeta, često koristeći naizgled bezazlene datoteke i metode da bi ostvarile ciljeve.

Izostanak specifičnih porodica zlonamjernog softvera povezanih sa Cobalt Group tokom operacije FrostBeacon ukazuje na moguću prilagodljivost grupe. Njihova sposobnost da mijenjaju taktike u skladu sa okolnostima predstavlja obilježje zlonamjernih aktera koji stalno traže načine da unaprijede djelovanje.

 

UTICAJ

Sajber prijetnja operacije FrostBeacon ima dubok uticaj na različite zainteresovane strane u pogođenim sektorima. Detaljno ispitivanje posljedica pokazuje da su brojne organizacije ugrožene, što može dovesti do značajnih finansijskih gubitaka i narušavanja reputacije. Taktike zlonamjernih aktera uzrokuju eroziju povjerenja među korisnicima, koji postaju oprezniji pri interakciji sa digitalnim sistemima. Uz to, uspjeh operacije može ohrabriti druge zlonamjerne aktere, stvarajući domino efekat u cijelom pejzažu sajber bezbjednosti.

Poseban uticaj vidljiv je u industrijama kao što su logistika, industrijska proizvodnja, građevinarstvo i tehničko snabdijevanje. Ovi sektori su nesrazmjerno pogođeni, što jasno otkriva slabosti u njihovim bezbjednosnim protokolima i spremnosti. Kao posljedica, organizacije se suočavaju sa povećanim nadzorom regulatornih tijela i investitora, dok se efekti prijetnje osjećaju duže vrijeme, jer pogođene industrije nastoje da se zaštite, oporave i obnove.

Posljedice operacije FrostBeacon osjećaju i sami korisnici. Oni koji postanu žrtve taktika zlonamjernih aktera često trpe emocionalni stres, uključujući anksioznost i osjećaj ranjivosti. Ovaj psihološki uticaj može trajati dugo nakon što je početni napad ublažen, ostavljajući trajan ožiljak na pogođenima. Pored toga, uspjeh operacije stvorio je okruženje u kojem se zlonamjerni akteri osjećaju ohrabreno da pokreću slične kampanje, što dodatno povećava rizik za pojedince i organizacije.

Uticaj operacije FrostBeacon proteže se i na globalnu zajednicu sajber bezbjednosti. Dok istraživači i stručnjaci analiziraju taktike koje koriste zlonamjerni akteri, oni stiču dragocjene uvide u evoluciju prijetnji. Ovo znanje biće ključno za razvoj efikasnijih protivmjera i unapređenje bezbjednosnih protokola. Ipak, proces prilagođavanja zahtijeva vrijeme, jer se pejzaž sajber bezbjednosti stalno mijenja, a FrostBeacon iskustva postaju važna lekcija za buduće odbrane.

 

ZAKLJUČAK

Operacija FrostBeacon pokazuje da sajber prijetnje ne pogađaju samo sektore koji se smatraju “visokovrijednim” metama, već se šire i na oblasti koje se često doživljavaju kao manje atraktivne za zlonamjerne aktere. Logistika, industrijska proizvodnja, građevinarstvo i tehnička nabavka, iako naizgled sporedni, predstavljaju važne karike u poslovnim lancima i samim tim postaju ranjive.

Kampanja ukazuje da podaci u finansijskim i pravnim odjeljenjima, kao i u korporativnoj elektronskoj pošti, imaju značajnu vrijednost. Njihovo ugrožavanje može izazvati ozbiljne posljedice – od finansijskih gubitaka do narušavanja reputacije i povjerenja poslovnih partnera.

Upotreba phishing poruka kao početnog vektora napada potvrđuje raširenost ove metode, ali i njenu sposobnost prilagođavanja određenim geografskim i industrijskim okolnostima. FrostBeacon time pokazuje da zlonamjerni akteri stalno mijenjaju pristup kako bi povećali uspješnost.

Posebno je značajno što se kampanja oslanja na domene pod kontrolom Rusije, pri čemu se ta infrastruktura koristi i za napade unutar same zemlje. To pokazuje da prijetnje mogu nastajati u jednom okruženju, ali da njihova upotreba nije ograničena granicama – ista infrastruktura može biti iskorišćena i protiv ciljeva van Rusije. Zbog toga je važno da stručnjaci stalno prate izvore prijetnji i razmjenjuju informacije kako bi se pravovremeno reagovalo.

Na kraju, FrostBeacon je podsjetnik da nijedan sektor nije zaštićen od napada. Organizacije, bez obzira na veličinu ili industriju, moraju ulagati u obuku zaposlenih, jačanje tehničkih mjera i saradnju na međunarodnom nivou kako bi se suprotstavile sve složenijem pejzažu prijetnji.

 

PREPORUKE

Zaštita od operacije FrostBeacon zahtijeva zajednički rad svih dijelova organizacije – od tehničkih timova i menadžmenta do pravnih i finansijskih odjeljenja, kao i zaposlenih u svakodnevnoj komunikaciji – jer samo usklađenim djelovanjem moguće je smanjiti rizik i pravovremeno reagovati na prijetnje. U nastavku slijede preporuke koje mogu pomoći u jačanju odbrane:

  1. Da bi spriječile phishing elektronske poruke da dospiju u prijemne sandučiće zaposlenih, organizacije bi trebalo da investiraju u napredna rješenja za filtriranje elektronske pošte koja mogu da detektuju i blokiraju sumnjive poruke. Ovi sistemi bi trebalo da budu konfigurisani da obilježavaju elektronske poruke sa zlonamjernim prilozima ili vezama, kao i one koji pokazuju karakteristike phishing kampanja operacije FrostBeacon.
  2. Pored filtera za elektronsku poštu, softver anti-phishing može obezbijediti dodatni sloj zaštite od ciljanih napada poput operacije FrostBeacon. Ova rješenja treba da budu sposobna da otkriju i blokiraju poruke elektronske pošte sa zlonamjernim sadržajem, čak i kada na prvi pogled djeluju vjerodostojno.
  3. Da bi spriječile lažno predstavljanje i osigurale autentičnost elektronske pošte, organizacije bi trebalo da pravilno konfigurišu svoje zapise za autentifikaciju, izveštavanje i usaglašenost poruka zasnovane na domenu (eng. Domain-based Message Authentication, Reporting, and Conformance – DMARC), identifikovanu poštu pomoću ključeva domena (eng. DomainKeys Identified Mail – DKIM) i okvir politike pošiljaoca (eng. Sender Policy Framework – SPF). Ovo će pomoći u sprječavanju zlonamjernih aktera u okviru operacije FrostBeacon da šalju elektronske poruke koji izgledaju kao da dolaze iz legitimnih izvora.
  4. Softveri za detekciju i odgovor na prijetnje (eng. Endpoint Detection and Response – EDR), mogu da otkriju sumnjivo ponašanje na krajnjim tačkama, čak i ako tradicionalni antivirusni softver propusti početne faze napada poput operacije FrostBeacon. Ovi sistemi treba da budu raspoređeni na svim krajnjim tačkama unutar organizacije kako bi se obezbijedila sveobuhvatna zaštita od naprednih prijetnji.
  5. Da bi se ograničilo bočno kretanje u slučaju proboja, organizacije treba da implementiraju strategije segmentacije mreže koje izoluju kritične sisteme i osjetljive podatke iza odvojenih segmenata. Ovo će otežati zlonamjernim akterima poput onih koji su uključeni u operaciju FrostBeacon da se bočno kreću unutar mreže organizacije.
  6. Osiguravanje da su svi operativni sistemi, aplikacije i mrežni uređaji ažurirani najnovijim bezbjednosnim ispravkama ključno je u sprječavanju iskorištavanja poznatih ranjivosti od strane zlonamjernih aktera u okviru operacije FrostBeacon. Organizacije treba da uspostave redovan raspored ispravki koji uključuje i automatska ažuriranja i ručnu provjeru kako bi se osiguralo da se ne pojave kritični problemi.
  7. Edukacija zaposlenih o phishing napadima, njihovim taktikama, tehnikama i procedurama, kao i o važnosti prijavljivanja sumnjive elektronske pošte ili aktivnosti, je neophodna u sprječavanju uspeha operacije FrostBeacon. Ova obuka treba da bude sveobuhvatna i da pokriva različite scenarije koji se mogu dogoditi tokom ciljanog napada poput ovog.
  8. Razvoj plana odgovora na sajber prijetnju će pomoći organizacijama da se pripreme i odgovore na potencijalne propuste izazvane napadima sličnim operaciji FrostBeacon. Plan treba da uključuje procedure za obuzdavanje, iskorjenjivanje, oporavak i aktivnosti nakon incidenta kako bi se osiguralo minimalno ometanje u slučaju propusta.
  9. Sprovođenje redovnih bezbjednosnih revizija može identifikovati ranjivosti koje bi mogli da iskoriste zlonamjerni akteri poput onih koji su uključeni u operaciju FrostBeacon. Ove revizije treba da obuhvate sve aspekte sajber bezbjednosti organizacije, uključujući konfiguracije mreže, zaštitu krajnjih tačaka i obuku zaposlenih.
  10. Da bi se dodao dodatni sloj autentifikacije za korisnike koji pristupaju osjetljivim sistemima ili podacima unutar organizacije, mogu se implementirati rješenja za autentifikaciju u dva koraka (eng. two-factor authentication – 2FA). Ovo će otežati zlonamjernim akterima da dobiju neovlašteni pristup koristeći samo ukradene podatke za prijavu.
  11. Prilikom komunikacije sa spoljnim stranama, organizacije treba da koriste bezbjedne komunikacione protokole poput HTTPS i SFTP umjesto njihovih nebezbjednih pandana (HTTP i FTP). Ovo će spriječiti zlonamjerne aktere iz operacije FrostBeacon da presretnu osjetljive podatke u tranzitu.
  12. Da bi se smanjio uticaj ugrožavanja bezbjednosti izazvanog napadom poput operacije FrostBeacon, neophodno je ograničiti privilegije za korisnike koji pristupaju kritičnim sistemima ili podacima unutar organizacije. To se može postići kontrolom pristupa zasnovanom na ulogama (eng. role-based access control – RBAC) i principima najmanjih privilegija.
  13. Primjena alata za praćenje mreže pomoći će organizacijama da otkriju sumnjive aktivnosti na svojim mrežama u realnom vremenu. Ovi alati treba da budu konfigurisani da upozoravaju bezbjednosne timove na potencijalne prijetnje, omogućavajući im da preduzmu brze mjere protiv napada sličnih operaciji FrostBeacon.
  14. Da biste spriječili zlonamjerne aktere da koriste ukradene podatke za prijavu za pristup osjetljivim sistemima ili podacima unutar organizacije, mogu se implementirati bezbjedna rješenja za skladištenje lozinki, poput autentifikacije zasnovane na hešu. Ovo će otežati zlonamjernim akterima da koriste ugrožene lozinke čak i ako ih dobiju putem phishing
  15. Kako se prijetnje po sajber bezbjednost vremenom razvijaju, organizacije treba redovno da pregledaju svoje bezbjednosne politike kako bi osigurale da ostanu efikasne protiv novih rizika poput operacije FrostBeacon. Ovi pregledi treba da uključuju sve zainteresovane strane unutar organizacije, uključujući zaposlene, menadžment i spoljne stručnjake ako je potrebno.
  16. Da bi organizacije spriječile zlonamjerne aktere da koriste Cobalt Strike signale u napadima sličnim operaciji FrostBeacon, organizacije mogu da implementiraju bezbjedne konfiguracije koje detektuju ove alate na svojim mrežama. Ovo će pomoći bezbjednosnim timovima da rano identifikuju potencijalne prijetnje i preduzmu brze mjere protiv njih prije nego što izazovu značajnu štetu.

Praćenjem iznad navedenih preporuka organizacije mogu značajno smanjiti rizik od toga da postanu žrtve ciljanih napada poput operacije FrostBeacon ili sličnih napada.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.