Sandworm Team

APT / EstatalG0034
OrigenRússia
Técnicas (MITRE ATT&CK)79
FuenteMITRE ATT&CK
También conocido como:ELECTRUMTelebotsIRON VIKINGBlackEnergy (Group)QuedaghVoodoo BearIRIDIUMSeashell BlizzardFROZENBARENTSAPT44

Análisis Vexday

Sandworm Team é um grupo de ameaça destrutivo atribuído à Unidade Militar 74455 do Centro Principal de Tecnologias Especiais (GTsST) do GRU, serviço de inteligência militar russo, com atividade documentada desde pelo menos 2009. Em outubro de 2020, os Estados Unidos indiciaram seis oficiais da Unidade 74455 associados ao grupo por operações cibernéticas que incluem os ataques de 2015 e 2016 contra empresas de energia elétrica e organizações governamentais ucranianas, o ataque global NotPetya de 2017, ações contra a campanha presidencial francesa de 2017 e o ataque Olympic Destroyer de 2018. O grupo é rastreado pelo MITRE ATT&CK sob o identificador G0034, com 79 técnicas documentadas e 4 CVEs atribuídas, sendo também conhecido pelos aliases ELECTRUM, Telebots, IRON VIKING, BlackEnergy (Group), Quedagh e Voodoo Bear.

Técnicas (MITRE ATT&CK) 79

Cómo opera el grupo, mapeado por la matriz MITRE ATT&CK y organizado por las fases de un ataque.

Reconocimiento
Email AddressesEmployee NamesDomain PropertiesBusiness RelationshipsSoftwareSearch Open Websites/DomainsSearch Victim-Owned WebsitesVulnerability ScanningSpearphishing Link
Preparación de recursos
Acquire InfrastructureDomainsServerServerBotnetSocial Media AccountsEmail AccountsSocial Media AccountsMalwareToolVulnerabilitiesUpload Malware
Acceso inicial
Exploit Public-Facing ApplicationSupply Chain CompromiseCompromise Software Supply ChainTrusted RelationshipSpearphishing AttachmentSpearphishing Link
Ejecución
Windows Management InstrumentationScheduled TaskPowerShellVisual BasicSoftware Deployment ToolsNative APIExploitation for Client ExecutionMalicious LinkMalicious File
Persistencia
External Remote ServicesWeb Shell
Acceso a credenciales
LSASS MemoryNTDSNetwork SniffingSteal Web Session CookieCredentials from Web Browsers
Descubrimiento
Remote System DiscoverySystem Owner/User DiscoverySystem Network Connections DiscoverySystem Information DiscoveryFile and Directory DiscoveryDomain AccountEmail Account
Movimiento lateral
SMB/Windows Admin SharesLateral Tool Transfer
Recolección
Data from Local SystemKeyloggingDatabases
Comando y control
Web ProtocolsProxyBidirectional CommunicationIngress Tool TransferStandard EncodingRemote Access ToolsNon-Standard Port
Exfiltración
Exfiltration Over C2 Channel
Impacto
Data DestructionData Encrypted for ImpactService StopInhibit System RecoveryExternal DefacementEndpoint Denial of ServiceDisk Structure Wipe
stealth
Obfuscated Files or InformationCommand ObfuscationMasqueradingMatch Legitimate Resource Name or LocationFile DeletionValid AccountsDomain AccountsDeobfuscate/Decode Files or InformationRundll32

Vulnerabilidades explotadas 4

CVEs que este grupo es conocido por explotar, según MITRE ATT&CK. Ordenadas por gravedad real.

CVE-2014-7169CRITICALEPSS 100%KEVCVE-2013-3906HIGHEPSS 85%KEVCVE-2014-4114HIGHEPSS 82%KEVCVE-2016-6662EPSS 68%

El grupo Sandworm Team usa técnicas y explota fallas reales. El Pentest Autónomo con IA de TrueHacking simula esos ataques en tu infraestructura y aporta más seguridad a tu aplicación.

Conocer el Pentest Autónomo con IA →