Simulation Træning Monitorering Priser Virksomheden Ressourcer Blog Kontakt
Prøv det gratis Log ind

Microsoft advarer om BadPilot-kampagne

Microsoft afslører BadPilot-kampagnen, orkestreret af Seashell Blizzard (APT44). Opdag, hvordan dette avancerede cyberangreb udnytter sårbarheder.

14-02-2025 - 5 minutters læsning. Under kategorien: cybercrime.

Microsoft advarer om BadPilot-kampagne

Microsoft identificerer BadPilot: En cybertrussel fra Seashell Blizzard

Microsofts Threat Intelligence-team har identificeret en ny cybertrussel, kaldet BadPilot, som er orkestreret af Seashell Blizzard (også kendt som APT44). Denne erfarne trusselsaktør, der har tætte forbindelser til russisk statssponsoreret cyberkriminalitet, har i årevis rettet angreb mod energi-, telekommunikations- og regeringssektorerne i både USA og Storbritannien.

En sofistikeret og vedvarende trussel

Ifølge Microsoft opererer Seashell Blizzard med en flerårig strategi, hvor de anvender avancerede phishing-angreb og kompromitterede VPN-forbindelser til at infiltrere organisationer. BadPilot-kampagnen, som er en central del af denne strategi, benytter fjernadgangsteknikker til at opnå kontrol over kompromitterede systemer.

Microsofts analyse viser, at BadPilot er designet til at være let og vanskelig at opdage, hvilket gør den til et særdeles effektivt våben for trusselsaktører. Når malwaren først er implementeret, giver den hackerne fjernadgang til netværk og systemer, så de kan udføre rekognoscering, udtrække data og potentielt forberede mere destruktive cyberangreb.

Hvem er Seashell Blizzard?

Seashell Blizzard, også kendt som APT44, er en avanceret trusselsaktør med tætte forbindelser til den russiske regering. Gruppen har i årevis gennemført målrettede angreb mod kritisk infrastruktur og højt profilerede organisationer i vesten. Deres angrebsmønstre afslører en strategisk tilgang, hvor de ikke blot infiltrerer systemer, men også sikrer langsigtet adgang til fremtidig udnyttelse.

Seashell Blizzard er særligt kendt for at udnytte kendte softwaresårbarheder til at opnå initial adgang til organisationers netværk. Gruppen har desuden været involveret i destruktive cyberangreb mod Ukraine siden 2023 med et særligt fokus på institutioner af geopolitisk betydning. Ifølge Microsofts analyse opererer Seashell Blizzard med en langsigtet strategi, hvor de kontinuerligt forsøger at bevare adgang og udvide deres angrebsflade.

Udnyttede sårbarheder

Seashell Blizzard udnytter kendte sårbarheder i udbredt software for at opnå adgang til målsystemer. Ifølge Microsoft er følgende sårbarheder blevet aktivt anvendt i BadPilot-kampagnen:

  • OpenFire (CVE-2023-32315)

  • JBOSS (CVE ukendt)

  • Microsoft Outlook (CVE-2023-23397)

  • Microsoft Exchange (CVE-2021-34473)

  • Zimbra Collaboration (CVE-2022-41352)

  • JetBrains TeamCity (CVE-2023-42793)

  • Fortinet FortiClient EMS (CVE-2023-48788)

  • Connectwise ScreenConnect (CVE-2024-1709)

Ved at udnytte disse sårbarheder kan hackere opnå et første fodfæste i et netværk, eskalere deres privilegier, stjæle legitimationsoplysninger og i sidste ende tage fuld kontrol over kritiske systemer.

Vedvarende adgang og skjulte operationer

Microsofts forskning afslører, at Seashell Blizzard ikke blot fokuserer på at opnå adgang, men også på at opretholde langsigtet kontrol over kompromitterede systemer. Gruppen anvender fjernstyringssoftware og webshells for at undgå opdagelse. Deres metoder inkluderer:

  • Implementering af legitime fjernstyringsværktøjer, såsom Atera Agent og Splashtop Remote Services, for at efterligne autoriseret aktivitet.

  • Installation af webshells, der sikrer vedvarende adgang til servere – selv efter at sårbarheder er blevet lappet.

  • Credential harvesting og DNS-manipulation, så de kan stjæle loginoplysninger og omdirigere trafik uden at vække mistanke.

  • Brug af specialbyggede værktøjer som ShadowLink, der konfigurerer kompromitterede systemer som skjulte tjenester på Tor-netværket, hvilket gør deres aktiviteter langt sværere at spore.

Målrettede angreb på kritisk infrastruktur

Seashell Blizzard har gentagne gange angrebet organisationer, der spiller en afgørende rolle i den nationale infrastruktur. Ifølge Microsofts rapport har gruppen tidligere kompromitteret energi- og forsyningssektoren, hvilket understreger alvoren af deres cybertrussel. Deres fortsatte operationer indikerer en vedvarende interesse i at infiltrere nøgleorganisationer i Vesten – muligvis som forberedelse til fremtidige cyberforstyrrelser eller spionage.

Sådan kan organisationer beskytte sig selv

Microsoft anbefaler, at organisationer implementerer følgende sikkerhedsforanstaltninger for at beskytte sig mod BadPilot og lignende trusler:

  • Zero Trust-arkitektur: En Zero Trust-tilgang minimerer risikoen for kompromitterede konti ved at kræve kontinuerlig verifikation af adgang.

  • Stærk multifaktorgodkendelse (MFA): MFA reducerer risikoen for phishing-baserede angreb markant. Lær, hvorfor MFA er afgørende for at beskytte dine konti.

  • Overvågning af VPN-adgang: Organisationer bør sikre, at VPN-forbindelser er korrekt konfigurerede og aktivt overvågede. Læs mere om VPN her.

  • Regelmæssige systemopdateringer: Hyppige sikkerhedsopdateringer og programrettelser hjælper med at forhindre udnyttelse af kendte sårbarheder.

  • Avanceret trusselsdetektion: AI-drevne overvågningsløsninger kan identificere mistænkelig aktivitet tidligt og forhindre eskalering af angreb.

Moxsos analyse: Det større billede

Seashell Blizzards taktik afspejler en stigende tendens inden for statssponsoreret cyberkrigsførelse. Vedholdenheden, raffinementet og tilpasningsevnen hos grupper som APT44 understreger behovet for proaktive sikkerhedsforanstaltninger. Denne kampagne er en påmindelse om, at cybersikkerhed ikke blot handler om at reagere på trusler – men også om at forudse og forhindre dem.

For organisationer er budskabet klart: Cyberhygiejne skal være en kontinuerlig proces, ikke en engangsindsats. I det moderne trusselslandskab er det afgørende at kombinere en sikkerhedsfokuseret tankegang med robuste detektionssystemer og hurtige reaktionsstrategier. Men teknologi alene er ikke nok – medarbejderne forbliver en af de største sikkerhedsrisici. Derfor er det lige så vigtigt at sikre, at ansatte forstår bedste sikkerhedspraksis og genkender trusler, som det er at implementere tekniske forsvarsværker.

En velinformeret arbejdsstyrke kan markant reducere risikoen for menneskelige fejl, der ofte fører til sikkerhedsbrud. Læs mere om, hvordan Moxso kan hjælpe din organisation med at styrke medarbejdernes bevidsthed og opbygge en modstandsdygtig sikkerhedskultur gennem vores phishing-simulering og awareness-træning.

Forfatter Sarah Krarup

Sarah Krarup

Sarah studerer innovation og entrepreneurship og har en dyb interesse for IT og hvordan cybersikkerhed påvirker virksomheder og private. Hun har stor erfaring med copywriting og en passion for at formidle viden om cybersikkerhed på en engagerende måde.

Se alle indlæg af Sarah Krarup

Lignende indlæg

Hvad er social engineering?
phishing

Hvad er social engineering?

Læs med her og find ud af, hvorfor social engineering er en af grundene til, at cyberangreb er så effektive, som de er.

11-03-2022 · 7 min.
Typosquatting og hvad du skal være opmærksom på
cybercrime

Typosquatting og hvad du skal være opmærksom på

IT-kriminelle har altid. udnyttet menneskelige fejl til at stjæle persondata. Nu gør de det ved typosquatting, som du kan lære mere om her.

21-02-2023 · 6 min.
Sådan sikrer du din cloud-lagring
tips

Sådan sikrer du din cloud-lagring

Flere virksomheder bruger cloud'en til at opbevare data - derfor skal man også have styr på sikkerheden omkring skyen som vi gennemgår. Læs med her.

17-05-2023 · 4 min.