APT29
APT29 ha avuto molti pseudonimi negli anni passati: IRON RITUAL, IRON HEMLOCK, NobleBaron, Dark Halo, StellarParticle, NOBELIUM, UNC2452, YTTRIUM, The Dukes, Cozy Bear, CozyDuke, SolarStorm, Blue Kitsune, UNC3524, Cloaked Ursa e più recentemente Midnight Blizzard. Ma chi sono e come operano? Cerchiamo di capirlo per proteggere al meglio la vostra azienda da loro.
L'origine di APT29
Si ritiene che l'APT29 sia affiliato al Foreign Intelligence Service (SVR) del governo russo, il che indica attività informatiche sponsorizzate dallo Stato.
Il gruppo è noto per la sua disciplina tecnica, la sofisticazione e la capacità di adattarsi alle tattiche difensive di sicurezza informatica.
L'APT29 è attivo dal 2008, con operazioni significative come la violazione della rete del Pentagono, la compromissione dei server del Comitato Nazionale Democratico e la scansione delle vulnerabilità degli indirizzi IP pubblici.
Si ritiene che APT29 sia responsabile della compromissione di SolarWinds nel 2021 e dell'attacco a Microsoft nel gennaio 2024.
Immagine: Raymond Andrè Hagen
Obiettivi
Obiettivi di APT29
Paesi presi di mira da APT29
L'APT29 prende di mira le reti governative in Europa e nei Paesi membri della NATO, dove si dedica allo spionaggio informatico contro aziende e think tank.
Fonte: MITRE & SOCradar
Settori presi di mira da APT29
Metodo di attacco
Il metodo di attacco di APT29
L'APT29 sfrutta le vulnerabilità nelle applicazioni rivolte al pubblico e si impegna nello spearphishing con link o allegati dannosi per entrare nelle reti target.
Hanno inoltre compromesso i fornitori di servizi IT e gestiti a sfruttare relazioni di fiducia per un accesso più ampio.
Il gruppo utilizza tecniche per aggirare il controllo dell'account utente (UAC) e sfruttare le vulnerabilità del software per ottenere privilegi elevati.
Ciò consente loro di eseguire codice con livelli di accesso più elevati, fondamentali per la profondità e la segretezza delle loro operazioni.
L'APT29 è abile nel disabilitare o modificare gli strumenti di sicurezza e le impostazioni del firewall per non essere individuato.
Utilizzano tecniche di offuscamento, tra cui l'impacchettamento del software e il mascheramento dei file dannosi con nomi legittimi, per nascondere la loro presenza e le loro attività.
Il gruppo utilizza vari metodi per accedere e manipolare gli account e le credenziali, compresi gli attacchi di forza bruta e il furto di credenziali dai browser o attraverso il dumping delle password.
Manipolano cloud e gli account di posta elettronica per mantenere l'accesso e il controllo sulle risorse.
L'APT29 conduce operazioni di scoperta estese utilizzando strumenti e script per raccogliere informazioni sulle configurazioni di rete, sugli account di dominio e sulle risorse interne.
Questo include l'enumerazione dei sistemi remoti, dei gruppi di dominio e dei gruppi di autorizzazioni per identificare obiettivi importanti.
Utilizzando credenziali compromesse e manipolando le autorizzazioni degli account, l'APT29 si muove attraverso le reti e accede ad aree riservate.
Sfruttano servizi remoti, tecniche proxy e account amministrativi per navigare senza problemi in ambienti compromessi.
Il gruppo prende di mira archivi di informazioni sensibili, account di posta elettronica e dati di sistema locali da estrarre.
Impiegano metodi per mettere in scena, comprimere e proteggere i dati per l'esfiltrazione, concentrandosi su informazioni preziose e proprietarie.
L'APT29 esegue comandi e payload attraverso le reti compromesse utilizzando vari interpreti di scripting e utility a riga di comando.
Utilizzano servizi remoti e attività pianificate per distribuire malware e aumentare il loro controllo all'interno delle reti.
L'esfiltrazione dei dati avviene su canali criptati, utilizzando metodi che garantiscono il trasferimento sicuro dei dati rubati fuori dalla rete.
L'APT29 conserva i dati in archivi protetti da password e utilizza protocolli web per il trasferimento dei dati, enfatizzando la furtività e la sicurezza.
Le attività del gruppo possono portare a significativi furti di dati, spionaggio e potenziali interruzioni di sistemi critici.
Alterando le impostazioni di fiducia dei domini e distribuendo malware che manipola o cripta i dati, l'APT29 mina l'integrità e la disponibilità dei sistemi, ponendo seri rischi alla sicurezza nazionale e alle operazioni organizzative.
Accesso iniziale
L'APT29 sfrutta le vulnerabilità nelle applicazioni rivolte al pubblico e si impegna nello spearphishing con link o allegati dannosi per entrare nelle reti target.
Hanno inoltre compromesso i fornitori di servizi IT e gestiti a sfruttare relazioni di fiducia per un accesso più ampio.
Escalation dei privilegi
Il gruppo utilizza tecniche per aggirare il controllo dell'account utente (UAC) e sfruttare le vulnerabilità del software per ottenere privilegi elevati.
Ciò consente loro di eseguire codice con livelli di accesso più elevati, fondamentali per la profondità e la segretezza delle loro operazioni.
Difesa Evasione
L'APT29 è abile nel disabilitare o modificare gli strumenti di sicurezza e le impostazioni del firewall per non essere individuato.
Utilizzano tecniche di offuscamento, tra cui l'impacchettamento del software e il mascheramento dei file dannosi con nomi legittimi, per nascondere la loro presenza e le loro attività.
Accesso alle credenziali
Il gruppo utilizza vari metodi per accedere e manipolare gli account e le credenziali, compresi gli attacchi di forza bruta e il furto di credenziali dai browser o attraverso il dumping delle password.
Manipolano cloud e gli account di posta elettronica per mantenere l'accesso e il controllo sulle risorse.
Scoperta
L'APT29 conduce operazioni di scoperta estese utilizzando strumenti e script per raccogliere informazioni sulle configurazioni di rete, sugli account di dominio e sulle risorse interne.
Questo include l'enumerazione dei sistemi remoti, dei gruppi di dominio e dei gruppi di autorizzazioni per identificare obiettivi importanti.
Movimento laterale
Utilizzando credenziali compromesse e manipolando le autorizzazioni degli account, l'APT29 si muove attraverso le reti e accede ad aree riservate.
Sfruttano servizi remoti, tecniche proxy e account amministrativi per navigare senza problemi in ambienti compromessi.
Collezione
Il gruppo prende di mira archivi di informazioni sensibili, account di posta elettronica e dati di sistema locali da estrarre.
Impiegano metodi per mettere in scena, comprimere e proteggere i dati per l'esfiltrazione, concentrandosi su informazioni preziose e proprietarie.
Esecuzione
L'APT29 esegue comandi e payload attraverso le reti compromesse utilizzando vari interpreti di scripting e utility a riga di comando.
Utilizzano servizi remoti e attività pianificate per distribuire malware e aumentare il loro controllo all'interno delle reti.
Esfiltrazione
L'esfiltrazione dei dati avviene su canali criptati, utilizzando metodi che garantiscono il trasferimento sicuro dei dati rubati fuori dalla rete.
L'APT29 conserva i dati in archivi protetti da password e utilizza protocolli web per il trasferimento dei dati, enfatizzando la furtività e la sicurezza.
Impatto
Le attività del gruppo possono portare a significativi furti di dati, spionaggio e potenziali interruzioni di sistemi critici.
Alterando le impostazioni di fiducia dei domini e distribuendo malware che manipola o cripta i dati, l'APT29 mina l'integrità e la disponibilità dei sistemi, ponendo seri rischi alla sicurezza nazionale e alle operazioni organizzative.
MITRE ATT&CK Mappatura
TTP utilizzate da APT29
TA0001: Initial Access
T1195
Supply Chain Compromise
T1566
Phishing
T1190
Exploit Public-Facing Application
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
T1651
Cloud Administration Command
T1204
User Execution
T1203
Exploitation for Client Execution
T1059
Command and Scripting Interpreter
T1047
Windows Management Instrumentation
TA0003: Persistence
T1505
Server Software Component
T1547
Boot or Logon Autostart Execution
T1546
Event Triggered Execution
T1556
Modify Authentication Process
T1136
Create Account
T1098
Account Manipulation
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1548
Abuse Elevation Control Mechanism
T1068
Exploitation for Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1546
Event Triggered Execution
T1484
Group Policy Modification
T1078
Valid Accounts
T1053
Scheduled Task/Job
T1037
Boot or Logon Initialization Scripts
TA0005: Defense Evasion
T1553
Subvert Trust Controls
T1218
System Binary Proxy Execution
T1140
Deobfuscate/Decode Files or Information
T1548
Abuse Elevation Control Mechanism
T1036
Masquerading
T1027
Obfuscated Files or Information
T1070
Indicator Removal
T1562
Impair Defenses
T1550
Use Alternate Authentication Material
T1556
Modify Authentication Process
T1484
Group Policy Modification
T1078
Valid Accounts
TA0006: Credential Access
T1649
Steal or Forge Authentication Certificates
T1621
Multi-Factor Authentication Request Generation
T1606
Forge Web Credentials
T1558
Steal or Forge Kerberos Tickets
T1539
Steal Web Session Cookie
T1556
Modify Authentication Process
T1555
Credentials from Password Stores
T1552
Unsecured Credentials
T1110
Brute Force
T1003
OS Credential Dumping
TA0007: Discovery
T1482
Domain Trust Discovery
T1087
Account Discovery
T1083
File and Directory Discovery
T1082
System Information Discovery
T1069
Permission Groups Discovery
T1057
Process Discovery
T1016
System Network Configuration Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
T1550
Use Alternate Authentication Material
T1021
Remote Services
TA0009: Collection
T1560
Archive Collected Data
T1213
Data from Information Repositories
T1114
Email Collection
T1074
Data Staged
T1005
Data from Local System
TA0011: Command and Control
T1102
Web Service
T1573
Encrypted Channel
T1568
Dynamic Resolution
T1105
Ingress Tool Transfer
T1090
Proxy
T1071
Application Layer Protocol
T1001
Data Obfuscation
TA0010: Exfiltration
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
No items found.
Rilevamenti della piattaforma
Come rilevare APT29 con Vectra AI
DOMANDE FREQUENTI
Come possono le organizzazioni rilevare le attività di APT29?
L'individuazione di APT29 richiede soluzioni avanzate di rilevamento delle minacce in grado di identificare i segni più impercettibili di compromissione. Una piattaforma di rilevamento delle minacce guidata dall'intelligenza artificiale come Vectra AI può aiutare a scoprire schemi nascosti e comportamenti dannosi caratteristici delle operazioni APT29.
Quali sono i settori più a rischio di APT29?
L'APT29 prende di mira un ampio spettro di industrie, con particolare attenzione ai settori governativo, diplomatico, dei think tank, sanitario ed energetico. Le organizzazioni di questi settori dovrebbero essere particolarmente vigili.
In che modo l'APT29 ottiene l'accesso iniziale alle reti?
L'APT29 utilizza comunemente lo spearphishing con allegati o link dannosi, sfrutta le vulnerabilità nelle applicazioni rivolte al pubblico e sfrutta le credenziali compromesse per ottenere l'accesso iniziale alle reti mirate.
Cosa deve essere incluso in un piano di risposta a un'intrusione APT29?
Un piano di risposta dovrebbe includere l'isolamento immediato dei sistemi interessati, un'indagine approfondita per determinare la portata della violazione, l'eliminazione degli strumenti e degli accessi cybercriminels e una revisione completa per migliorare le posizioni di sicurezza e prevenire future violazioni.
Come fa APT29 a mantenere la persistenza all'interno di una rete compromessa?
APT29 utilizza tecniche come l'aggiunta di chiavi di registro per l'esecuzione automatica, il dirottamento di script legittimi e la creazione di shell web su server compromessi per mantenere la persistenza.
Esistono strumenti specifici o malware associati all'APT29?
APT29 è noto per l'utilizzo di una serie di strumenti personalizzati e di malware, tra cui, ma non solo, SUNBURST, TEARDROP e malware scritti in Python. Utilizza anche strumenti come Mimikatz per il furto di credenziali.
Qual è la strategia migliore per proteggersi dall'APT29?
La protezione contro le minacce costanti evolutive29 comporta una strategia di sicurezza a più livelli che comprende il regolare patch delle vulnerabilità, una solida protezione di endpoint , la formazione dei dipendenti sulla consapevolezza di phishing e l'implementazione di strumenti avanzati di rilevamento e risposta alle minacce.
Le attività dell'APT29 possono essere attribuite a specifiche campagne informatiche?
Sì, APT29 è stato collegato a diverse campagne di spionaggio informatico di alto profilo, tra cui la compromissione della catena di fornitura del software SolarWinds Orion. Ha sempre preso di mira entità che si allineano con gli interessi strategici del governo russo.
Come fa APT29 a eludere il rilevamento e cosa si può fare per contrastare queste tecniche?
L'APT29 utilizza una serie di tecniche di elusione della difesa, come la disattivazione degli strumenti di sicurezza, l'offuscamento del sito malware e l'utilizzo di canali di comunicazione criptati. Le contromisure comprendono l'impiego di piattaforme di rilevamento delle minacce basate sull'intelligenza artificiale in grado di rilevare e rispondere a comportamenti sottili e complessi delle minacce, il miglioramento della visibilità sulla rete e il monitoraggio continuo delle attività anomale.
Quali sono le implicazioni di una violazione APT29?
Una violazione APT29 può comportare una significativa perdita di informazioni e dati, spionaggio e potenziale interruzione delle infrastrutture critiche. Le organizzazioni colpite da APT29 rischiano danni alla reputazione, perdite finanziarie e la potenziale compromissione di informazioni sensibili sulla sicurezza nazionale.