APT29
APT29 ha avuto molti pseudonimi negli ultimi anni: IRON RITUAL, IRON HEMLOCK, NobleBaron, Dark Halo, StellarParticle, NOBELIUM, UNC2452, YTTRIUM, The Dukes, Cozy Bear, CozyDuke, SolarStorm, Blue Kitsune, UNC3524, Cloaked Ursa e, più recentemente, Midnight Blizzard. Ma chi sono e come operano? Cerchiamo di capirlo per proteggere al meglio la tua azienda da loro.
L'origine dell'APT29
Si ritiene che APT29 sia affiliato al Servizio di intelligence estero (SVR) del governo russo, il che indica attività informatiche sponsorizzate dallo Stato.
Il gruppo è noto per la sua disciplina tecnica, sofisticatezza e capacità di adattarsi alle tattiche difensive di sicurezza informatica.
APT29 è attivo dal 2008 e ha condotto operazioni significative, tra cui la violazione della rete del Pentagono, la compromissione dei server del Comitato Nazionale Democratico e la scansione delle vulnerabilità degli indirizzi IP pubblici.
Si ritiene che APT29 sia responsabile della violazione di SolarWinds nel 2021 e dell'attacco a Microsoft nel gennaio 2024.
Paesi presi di mira dall'APT29
APT29 prende di mira le reti governative in Europa e nei paesi membri della NATO, dove svolge attività di spionaggio informatico contro aziende e think tank.
Fonte: MITRE & SOCradar
Il metodo di attacco dell'APT29
APT29 sfrutta le vulnerabilità delle applicazioni pubbliche e si dedica allo spearphishing con link o allegati dannosi per ottenere l'accesso alle reti bersaglio.
Hanno anche compromesso i fornitori di servizi IT e gestiti per sfruttare relazioni di fiducia e ottenere un accesso più ampio.
Il gruppo utilizza tecniche per aggirare il Controllo account utente (UAC) e sfruttare le vulnerabilità del software per ottenere privilegi elevati.
Ciò consente loro di eseguire codice con livelli di accesso più elevati, fondamentali per la profondità e la furtività delle loro operazioni.
APT29 è abile nel disabilitare o modificare gli strumenti di sicurezza e le impostazioni del firewall per non essere rilevato.
Utilizzano tecniche di offuscamento, tra cui il software packing e la mascheratura di file dannosi con nomi legittimi, per nascondere la loro presenza e le loro attività.
Il gruppo utilizza vari metodi per accedere e manipolare account e credenziali, tra cui attacchi di forza bruta e furto di credenziali dai browser o tramite il dumping delle password.
Manipolano account cloud e-mail per mantenere l'accesso e il controllo sulle risorse.
APT29 conduce operazioni di rilevamento approfondite utilizzando strumenti e script per raccogliere informazioni sulle configurazioni di rete, gli account di dominio e le risorse interne.
Ciò include l'enumerazione di sistemi remoti, gruppi di domini e gruppi di autorizzazioni per identificare obiettivi di valore.
Utilizzando credenziali compromesse e manipolando i permessi degli account, APT29 si muove attraverso le reti e accede ad aree riservate.
Sfruttano servizi remoti, tecniche proxy e account amministrativi per navigare senza intoppi negli ambienti compromessi.
Il gruppo prende di mira archivi di informazioni sensibili, account di posta elettronica e dati di sistemi locali per estrarli.
Utilizzano metodi per organizzare, comprimere e proteggere i dati per l'esfiltrazione, concentrandosi su informazioni preziose e riservate.
APT29 esegue comandi e payload su reti compromesse utilizzando vari interpreti di script e utilità della riga di comando.
Utilizzano servizi remoti e attività pianificate per distribuire malware rafforzare il loro controllo all'interno delle reti.
I dati vengono sottratti tramite canali crittografati, utilizzando metodi che garantiscono il trasferimento sicuro dei dati rubati fuori dalla rete.
APT29 archivia i dati in archivi protetti da password e utilizza protocolli web per il trasferimento dei dati, ponendo l'accento sulla segretezza e sulla sicurezza.
Le attività del gruppo possono portare a furti di dati significativi, spionaggio e potenziali interruzioni di sistemi critici.
Modificando le impostazioni di affidabilità dei domini e distribuendo malware che manipola o crittografa i dati, APT29 compromette l'integrità e la disponibilità dei sistemi, ponendo gravi rischi alla sicurezza nazionale e alle operazioni organizzative.
APT29 sfrutta le vulnerabilità delle applicazioni pubbliche e si dedica allo spearphishing con link o allegati dannosi per ottenere l'accesso alle reti bersaglio.
Hanno anche compromesso i fornitori di servizi IT e gestiti per sfruttare relazioni di fiducia e ottenere un accesso più ampio.
Il gruppo utilizza tecniche per aggirare il Controllo account utente (UAC) e sfruttare le vulnerabilità del software per ottenere privilegi elevati.
Ciò consente loro di eseguire codice con livelli di accesso più elevati, fondamentali per la profondità e la furtività delle loro operazioni.
APT29 è abile nel disabilitare o modificare gli strumenti di sicurezza e le impostazioni del firewall per non essere rilevato.
Utilizzano tecniche di offuscamento, tra cui il software packing e la mascheratura di file dannosi con nomi legittimi, per nascondere la loro presenza e le loro attività.
Il gruppo utilizza vari metodi per accedere e manipolare account e credenziali, tra cui attacchi di forza bruta e furto di credenziali dai browser o tramite il dumping delle password.
Manipolano account cloud e-mail per mantenere l'accesso e il controllo sulle risorse.
APT29 conduce operazioni di rilevamento approfondite utilizzando strumenti e script per raccogliere informazioni sulle configurazioni di rete, gli account di dominio e le risorse interne.
Ciò include l'enumerazione di sistemi remoti, gruppi di domini e gruppi di autorizzazioni per identificare obiettivi di valore.
Utilizzando credenziali compromesse e manipolando i permessi degli account, APT29 si muove attraverso le reti e accede ad aree riservate.
Sfruttano servizi remoti, tecniche proxy e account amministrativi per navigare senza intoppi negli ambienti compromessi.
Il gruppo prende di mira archivi di informazioni sensibili, account di posta elettronica e dati di sistemi locali per estrarli.
Utilizzano metodi per organizzare, comprimere e proteggere i dati per l'esfiltrazione, concentrandosi su informazioni preziose e riservate.
APT29 esegue comandi e payload su reti compromesse utilizzando vari interpreti di script e utilità della riga di comando.
Utilizzano servizi remoti e attività pianificate per distribuire malware rafforzare il loro controllo all'interno delle reti.
I dati vengono sottratti tramite canali crittografati, utilizzando metodi che garantiscono il trasferimento sicuro dei dati rubati fuori dalla rete.
APT29 archivia i dati in archivi protetti da password e utilizza protocolli web per il trasferimento dei dati, ponendo l'accento sulla segretezza e sulla sicurezza.
Le attività del gruppo possono portare a furti di dati significativi, spionaggio e potenziali interruzioni di sistemi critici.
Modificando le impostazioni di affidabilità dei domini e distribuendo malware che manipola o crittografa i dati, APT29 compromette l'integrità e la disponibilità dei sistemi, ponendo gravi rischi alla sicurezza nazionale e alle operazioni organizzative.
TTP utilizzati da APT29
Come rilevare APT29 con Vectra AI
Domande frequenti
Come possono le organizzazioni individuare le attività di APT29?
Per rilevare APT29 sono necessarie soluzioni avanzate di rilevamento delle minacce in grado di identificare i segni più sottili di compromissione. Una piattaforma di rilevamento delle minacce basata sull'intelligenza artificiale come Vectra AI aiutare a scoprire modelli nascosti e comportamenti dannosi caratteristici delle operazioni di APT29.
Quali sono i settori più a rischio a causa dell'APT29?
APT29 prende di mira un ampio spettro di settori, con particolare attenzione a quelli governativo, diplomatico, dei think tank, sanitario ed energetico. Le organizzazioni che operano in questi settori dovrebbero prestare particolare attenzione.
In che modo APT29 ottiene l'accesso iniziale alle reti?
APT29 utilizza comunemente lo spearphishing con allegati o link dannosi, sfrutta le vulnerabilità delle applicazioni pubbliche e utilizza credenziali compromesse per ottenere l'accesso iniziale alle reti prese di mira.
Cosa dovrebbe essere incluso in un piano di risposta a un'intrusione APT29?
Un piano di risposta dovrebbe includere l'isolamento immediato dei sistemi interessati, un'indagine approfondita per determinare la portata della violazione, l'eliminazione degli strumenti e dell'accesso degli autori della minaccia e una revisione completa per migliorare le misure di sicurezza e prevenire future violazioni.
In che modo APT29 mantiene la persistenza all'interno di una rete compromessa?
APT29 utilizza tecniche quali l'aggiunta di chiavi di registro per l'esecuzione automatica all'avvio, il dirottamento di script legittimi e la creazione di shell web su server compromessi per mantenere la persistenza.
Esistono strumenti specifici o malware ad APT29?
APT29 è noto per utilizzare una varietà di strumenti personalizzati e malware, inclusi, ma non limitati a, SUNBURST, TEARDROP e malware in Python. Utilizzano anche strumenti come Mimikatz per il furto di credenziali.
Qual è la strategia migliore per proteggersi dall'APT29?
La protezione contro APT29 richiede una strategia di sicurezza multilivello che include l'applicazione regolare di patch per le vulnerabilità, endpoint solida endpoint , la formazione dei dipendenti sulla phishing e l'implementazione di strumenti avanzati di rilevamento e risposta alle minacce.
Le attività di APT29 possono essere attribuite a specifiche campagne informatiche?
Sì, APT29 è stato collegato a diverse campagne di spionaggio informatico di alto profilo, tra cui la compromissione della catena di fornitura del software SolarWinds Orion. Ha costantemente preso di mira entità in linea con gli interessi strategici del governo russo.
In che modo APT29 elude il rilevamento e cosa si può fare per contrastare queste tecniche?
APT29 utilizza una serie di tecniche di elusione della difesa, come la disattivazione degli strumenti di sicurezza, l'offuscamento malware propri malware e l'utilizzo di canali crittografati per la comunicazione. Le contromisure includono l'impiego di piattaforme di rilevamento delle minacce basate sull'intelligenza artificiale in grado di rilevare e rispondere a comportamenti minacciosi sottili e complessi, migliorando la visibilità su tutta la rete e monitorando costantemente le attività anomale.
Quali sono le implicazioni di una violazione da parte dell'APT29?
Una violazione da parte di APT29 può causare una significativa perdita di informazioni e dati, spionaggio e potenziali interruzioni delle infrastrutture critiche. Le organizzazioni colpite da APT29 rischiano danni alla reputazione, perdite finanziarie e la potenziale compromissione di informazioni sensibili relative alla sicurezza nazionale.