This post is also available in:
English (אנגלית)
"Cozy Bear", קבוצת האקרים רוסית ידועה לשמצה, ביצעה קמפיין זדוני מתוחכם שהשפיע על יותר מ-100 ארגונים במגזרים קריטיים, על פי דיווח של מיקרוסופט. הקמפיין, שפעיל מאז ה-22 באוקטובר 2024, משתמש בהודעות דוא"ל כדי לשלוח הודעות פישית שמטרתן לתמרן משתמשים על מנת לקבל גישה למערכות שלהם ולפגוע בהן.
היקף הפעולה הוא מדאיג, עם יותר מאלף משתמשים המקבלים הודעות פישינג המשתמשות במכוון בשמות מוכרים, כמו מייקרוסופט ואמזון, יחד עם מושגים כמו Zero Trust כדי להעלות את האמינות שלהן. Cozy Bearאפילו הרחיקו לכת עד כדי התחזות לעובדי מיקרוסופט, כדי להגדיל את הסבירות לניסיונות פישינג מוצלחים.
הטקטיקה העיקרית שלהם כוללת פיתוי הקורבנות לפתוח קובץ הגדרות RDP חתום שיוצר חיבור לשרת בשליטת ההאקרים. קובץ זה מכיל הגדרות רגישות שלאחר הפעלתן עלולות לחשוף מידע קריטי. צוות מודיעין האיומים של מיקרוסופט ציין כי "השימוש בקובץ הגדרות RDP חתום כדי לקבל גישה למכשירי היעד מייצג וקטור גישה חדש עבור שחקן זה". עובדה זו מדגישה את השיטות המתפתחות המופעלות על ידי Cozy Bear כדי לחדור למערכות.
לאחר שהמערכת של יעד התקיפה מודבקת, היא מתחברת באופן דו-כיווני לשרת של התוקף וממפה התקנים מקומיים – כולל דיסקים קשיחים, תוכן לוח ההדבקה, מדפסות והתקנים היקפיים אחרים. רמה זו של גישה מאפשרת לתוקפים להתקין תוכנות זדוניות נוספות כדי להבטיח את הגישה שלהם גם לאחר סגירת סשן ה-RDP הראשוני.
Cozy Bear, הידוע גם בשם APT29 או Midnight Blizzard, הוא שחקן איום ידוע לשמצה המיוחס לשירות הביון הרוסי (SVR). קבוצה זו מתמקדת בדרך כלל באיסוף מודיעין, ופועלת נגד סוכנויות ממשלתיות, ישויות דיפלומטיות, ארגונים לא ממשלתיים וספקי IT, במיוחד בארצות הברית ובאירופה. הקמפיין הנוכחי ככה"נ נועד לאסוף מודיעין.
בתגובה לקמפיין זה, מיקרוסופט ממליצה ליישם אמצעי אבטחה חזקים, כולל פיירוול, אימות רב-שלבי ופרוטוקולי אבטחה משופרים במכשירי קצה, כדי למתן את הסיכונים הנשקפים מקבוצה מתקדמת זו. הצורך בדריכות כאן הוא משמעותי לאור העובדה ש-Cozy Bear ממשיכה להסתגל ולפתח את הטקטיקות חדשות.
