Globale Angriffskampagne aufgedeckt
- Warnmeldung
Microsoft deckte eine weltweite Cyberangriffskampagne auf, die mindestens seit 2021 läuft. Auch deutsche Unternehmen gehörten zu den Zielen der Gruppierung Seashell Blizzard. Kompromittierungsindikatoren (IoCs) sind veröffentlicht.
© LfV Baden-Württemberg
Schwachstellen ausgenutzt
Die Angreifenden nutzen außer Phishing-Angriffen unter anderem folgende Schwachstellen aus, um sich Zugang zu den IT-System zu verschaffen:
- CVE-2021-34473 (Microsoft Exchange)
- CVE-2022-41352 (Zimbra Collaboration Suite)
- CVE-2023-32315 (OpenFire)
- CVE-2023-42793 (JetBrains TeamCity)
- CVE-2023-23397 (Microsoft Outlook)
- CVE-2024-1709 (ConnectWise ScreenConnect)
- CVE-2023-48788 (Fortinet FortiClient EMS)
Ziele in folgenden Sektoren standen im Mittelpunkt:
- Energie
- Öl
- Gas
- Telekommunikation
- Schifffahrt
- Rüstung
Das Landesamt für Verfassungsschutz Baden-Württemberg (LfV BW) weist in seinem Webauftritt auf diese Angriffskampagne hin, die den Namen BadPilot trägt.
Zuordnung
Die Gruppierung ist eine Untergruppierung von APT44 mit Bezug zum russischen Staat. Sie ist auch unter dem Namen Sandworm bekannt.
Empfehlungen
Beachten Sie folgende Empfehlungen:
- Prüfen Sie Ihre Systeme anhand der IoCs, ob sie betroffen sind.
- Prüfen Sie die genannte Software auf ihre Aktualität. Aktualisieren Sie sie gegebenenfalls.