APT29
Negli ultimi anni, APT29 ha assunto numerosi pseudonimi: IRON RITUAL, IRON HEMLOCK, NobleBaron, Dark Halo, StellarParticle, NOBELIUM, UNC2452, YTTRIUM, The Dukes, Cozy Bear, CozyDuke, SolarStorm, Blue Kitsune, UNC3524, Cloaked Ursa e, più recentemente, Midnight Blizzard. Ma chi sono e come operano? Cerchiamo di capirlo per proteggere al meglio la vostra azienda da loro.
L'origine di APT29
Si ritiene che l'APT29 sia affiliata al Servizio di intelligence estero (SVR) del governo russo, il che fa supporre che si tratti di attività informatiche sponsorizzate dallo Stato.
Il gruppo è noto per la sua rigore tecnico, la sua raffinatezza e la sua capacità di adattarsi alle strategie difensive di sicurezza informatica.
L'APT29 è attiva dal 2008 e ha condotto operazioni di rilievo, tra cui la violazione della rete del Pentagono, la compromissione dei server del Comitato Nazionale Democratico e l'esecuzione di scansioni di vulnerabilità su indirizzi IP accessibili al pubblico.
Si ritiene che l'APT29 sia responsabile della violazione di SolarWinds avvenuta nel 2021 e dell'attacco a Microsoft nel gennaio 2024.
Paesi presi di mira da APT29
L'APT29 prende di mira le reti governative in Europa e nei paesi membri della NATO, dove conduce attività di spionaggio informatico contro aziende e centri di ricerca.
Fonte: MITRE e SOCradar
Il metodo di attacco di APT29
APT29 sfrutta le vulnerabilità delle applicazioni accessibili al pubblico e ricorre allo spearphishing tramite link o allegati dannosi per penetrare nelle reti degli utenti presi di mira.
Hanno inoltre compromesso i fornitori di servizi IT e di servizi gestiti per sfruttare i rapporti di fiducia instaurati e ottenere un accesso più ampio.
Il gruppo utilizza tecniche volte ad aggirare il Controllo account utente (UAC) e a sfruttare le vulnerabilità del software per ottenere privilegi elevati.
Ciò consente loro di eseguire codice con livelli di accesso più elevati, fondamentali per garantire la profondità e la discrezione delle loro operazioni.
APT29 è abile nel disattivare o modificare gli strumenti di sicurezza e le impostazioni del firewall per non essere individuato.
Utilizzano tecniche di offuscamento, tra cui il software packing e la camuffatura di file dannosi con nomi legittimi, per nascondere la loro presenza e le loro attività.
Il gruppo ricorre a vari metodi per accedere e manomettere account e credenziali, tra cui attacchi di forza bruta e il furto di credenziali dai browser o tramite il dumping delle password.
Manipolano gli account cloud di posta elettronica per mantenere l'accesso e il controllo sulle risorse.
APT29 conduce operazioni di ricognizione su vasta scala utilizzando strumenti e script per raccogliere informazioni sulle configurazioni di rete, sugli account di dominio e sulle risorse interne.
Ciò comporta l'individuazione di sistemi remoti, gruppi di domini e gruppi di autorizzazioni al fine di identificare obiettivi di valore.
Utilizzando credenziali compromesse e manipolando le autorizzazioni degli account, APT29 si muove all'interno delle reti e accede ad aree riservate.
Sfruttano servizi remoti, tecniche di proxy e account amministrativi per muoversi senza ostacoli all'interno degli ambienti compromessi.
Il gruppo prende di mira archivi di informazioni sensibili, account di posta elettronica e dati dei sistemi locali per estrarne il contenuto.
Utilizzano metodi per organizzare, comprimere e proteggere i dati in vista della loro sottrazione, concentrandosi su informazioni di intelligence di valore e dati riservati.
APT29 esegue comandi e payload sulle reti compromesse utilizzando vari interpreti di script e utilità da riga di comando.
Utilizzano servizi remoti e attività pianificate per diffondere malware rafforzare il proprio controllo all'interno delle reti.
I dati vengono sottratti tramite canali crittografati, utilizzando metodi che garantiscono il trasferimento sicuro dei dati rubati al di fuori della rete.
APT29 archivia i dati in file protetti da password e utilizza protocolli web per il trasferimento dei dati, puntando sulla discrezione e sulla sicurezza.
Le attività del gruppo possono comportare gravi furti di dati, spionaggio e potenziali interruzioni dei sistemi critici.
Modificando le impostazioni di affidabilità dei domini e diffondendo malware in grado di manipolare o crittografare i dati, APT29 compromette l'integrità e la disponibilità dei sistemi, ponendo gravi rischi per la sicurezza nazionale e le operazioni delle organizzazioni.
APT29 sfrutta le vulnerabilità delle applicazioni accessibili al pubblico e ricorre allo spearphishing tramite link o allegati dannosi per penetrare nelle reti degli utenti presi di mira.
Hanno inoltre compromesso i fornitori di servizi IT e di servizi gestiti per sfruttare i rapporti di fiducia instaurati e ottenere un accesso più ampio.
Il gruppo utilizza tecniche volte ad aggirare il Controllo account utente (UAC) e a sfruttare le vulnerabilità del software per ottenere privilegi elevati.
Ciò consente loro di eseguire codice con livelli di accesso più elevati, fondamentali per garantire la profondità e la discrezione delle loro operazioni.
APT29 è abile nel disattivare o modificare gli strumenti di sicurezza e le impostazioni del firewall per non essere individuato.
Utilizzano tecniche di offuscamento, tra cui il software packing e la camuffatura di file dannosi con nomi legittimi, per nascondere la loro presenza e le loro attività.
Il gruppo ricorre a vari metodi per accedere e manomettere account e credenziali, tra cui attacchi di forza bruta e il furto di credenziali dai browser o tramite il dumping delle password.
Manipolano gli account cloud di posta elettronica per mantenere l'accesso e il controllo sulle risorse.
APT29 conduce operazioni di ricognizione su vasta scala utilizzando strumenti e script per raccogliere informazioni sulle configurazioni di rete, sugli account di dominio e sulle risorse interne.
Ciò comporta l'individuazione di sistemi remoti, gruppi di domini e gruppi di autorizzazioni al fine di identificare obiettivi di valore.
Utilizzando credenziali compromesse e manipolando le autorizzazioni degli account, APT29 si muove all'interno delle reti e accede ad aree riservate.
Sfruttano servizi remoti, tecniche di proxy e account amministrativi per muoversi senza ostacoli all'interno degli ambienti compromessi.
Il gruppo prende di mira archivi di informazioni sensibili, account di posta elettronica e dati dei sistemi locali per estrarne il contenuto.
Utilizzano metodi per organizzare, comprimere e proteggere i dati in vista della loro sottrazione, concentrandosi su informazioni di intelligence di valore e dati riservati.
APT29 esegue comandi e payload sulle reti compromesse utilizzando vari interpreti di script e utilità da riga di comando.
Utilizzano servizi remoti e attività pianificate per diffondere malware rafforzare il proprio controllo all'interno delle reti.
I dati vengono sottratti tramite canali crittografati, utilizzando metodi che garantiscono il trasferimento sicuro dei dati rubati al di fuori della rete.
APT29 archivia i dati in file protetti da password e utilizza protocolli web per il trasferimento dei dati, puntando sulla discrezione e sulla sicurezza.
Le attività del gruppo possono comportare gravi furti di dati, spionaggio e potenziali interruzioni dei sistemi critici.
Modificando le impostazioni di affidabilità dei domini e diffondendo malware in grado di manipolare o crittografare i dati, APT29 compromette l'integrità e la disponibilità dei sistemi, ponendo gravi rischi per la sicurezza nazionale e le operazioni delle organizzazioni.
TTP utilizzati da APT29
Come individuare APT29 con Vectra AI
Domande frequenti
In che modo le organizzazioni possono individuare le attività di APT29?
Per individuare APT29 sono necessarie soluzioni avanzate di rilevamento delle minacce in grado di identificare i segni più sottili di compromissione. Una piattaforma di rilevamento delle minacce basata sull'intelligenza artificiale come Vectra AI aiutare a scoprire modelli nascosti e comportamenti dannosi tipici delle operazioni di APT29.
Quali sono i settori più a rischio a causa di APT29?
APT29 prende di mira un ampio ventaglio di settori, con particolare attenzione a quelli governativo, diplomatico, dei think tank, sanitario ed energetico. Le organizzazioni operanti in questi settori dovrebbero prestare particolare attenzione.
In che modo APT29 ottiene l'accesso iniziale alle reti?
APT29 ricorre comunemente allo spearphishing tramite allegati o link dannosi, sfrutta le vulnerabilità delle applicazioni accessibili al pubblico e utilizza credenziali compromesse per ottenere l'accesso iniziale alle reti prese di mira.
Cosa dovrebbe comprendere un piano di risposta a un'intrusione da parte di APT29?
Un piano di risposta dovrebbe prevedere l'isolamento immediato dei sistemi interessati, un'indagine approfondita per determinare l'entità della violazione, l'eliminazione degli strumenti e degli accessi degli autori della minaccia, nonché una revisione completa volta a rafforzare le misure di sicurezza e a prevenire future violazioni.
In che modo APT29 mantiene la persistenza all'interno di una rete compromessa?
APT29 utilizza tecniche quali l'aggiunta di chiavi di registro per l'esecuzione all'avvio, il dirottamento di script legittimi e la creazione di web shell sui server compromessi per garantire la propria persistenza.
Esistono strumenti specifici o malware ad APT29?
È noto che APT29 utilizzi una serie di strumenti personalizzati e malware, tra cui, a titolo esemplificativo ma non esaustivo, SUNBURST, TEARDROP e malware in Python. Utilizza inoltre strumenti come Mimikatz per il furto di credenziali.
Qual è la strategia migliore per proteggersi da APT29?
La protezione contro APT29 richiede una strategia di sicurezza a più livelli che comprenda l'applicazione regolare delle patch per le vulnerabilità, endpoint solida endpoint , la formazione dei dipendenti sulla phishing e l'implementazione di strumenti avanzati di rilevamento e risposta alle minacce.
Le attività di APT29 possono essere ricondotte a specifiche campagne informatiche?
Sì, l'APT29 è stato collegato a diverse campagne di spionaggio informatico di grande risonanza, tra cui la compromissione della catena di approvvigionamento del software SolarWinds Orion. Il gruppo ha costantemente preso di mira entità in linea con gli interessi strategici del governo russo.
In che modo APT29 riesce a eludere i sistemi di rilevamento e cosa si può fare per contrastare queste tecniche?
APT29 ricorre a una serie di tecniche volte a eludere i sistemi di difesa, quali la disattivazione degli strumenti di sicurezza, l'offuscamento malware proprio malware e l'utilizzo di canali crittografati per le comunicazioni. Le contromisure comprendono l'impiego di piattaforme di rilevamento delle minacce basate sull'intelligenza artificiale, in grado di individuare e reagire a comportamenti dannosi sottili e complessi, il miglioramento della visibilità su tutta la rete e il monitoraggio continuo delle attività anomale.
Quali sono le conseguenze di una violazione attribuita ad APT29?
Una violazione da parte di APT29 può comportare una significativa perdita di informazioni e dati, attività di spionaggio e potenziali interruzioni delle infrastrutture critiche. Le organizzazioni colpite da APT29 rischiano danni alla reputazione, perdite finanziarie e la potenziale compromissione di informazioni sensibili relative alla sicurezza nazionale.