Wizard Spider

APT / EstatalG0102
OrigenRússia
Técnicas (MITRE ATT&CK)64
FuenteMITRE ATT&CK
También conocido como:UNC1878TEMP.MixMasterGrim SpiderFIN12GOLD BLACKBURNITG23Periwinkle TempestDEV-0193Pistachio TempestDEV-0237

Análisis Vexday

Wizard Spider é um grupo de ameaça de origem russa, motivado financeiramente, conhecido pela criação e implantação do TrickBot desde pelo menos 2016. O grupo dispõe de um arsenal diversificado de ferramentas e conduziu campanhas de ransomware contra organizações variadas, incluindo grandes corporações e hospitais. Rastreado pelo MITRE ATT&CK sob o identificador G0102, possui 64 técnicas documentadas e 4 CVEs atribuídas, sendo também referenciado pelos aliases UNC1878, TEMP.MixMaster, Grim Spider, FIN12, GOLD BLACKBURN e ITG23.

Técnicas (MITRE ATT&CK) 64

Cómo opera el grupo, mapeado por la matriz MITRE ATT&CK y organizado por las fases de un ataque.

Preparación de recursos
Email AccountsToolCode Signing Certificates
Acceso inicial
Spearphishing AttachmentSpearphishing Link
Ejecución
Windows Management InstrumentationScheduled TaskPowerShellWindows Command ShellMalicious LinkMalicious FileService Execution
Persistencia
External Remote ServicesLocal AccountDomain AccountWindows ServiceRegistry Run Keys / Startup FolderWinlogon Helper DLL
Acceso a credenciales
LSASS MemorySecurity Account ManagerNTDSGroup Policy PreferencesWindows Credential ManagerName Resolution Poisoning and SMB RelayKerberoasting
Descubrimiento
System Network Configuration DiscoveryRemote System DiscoverySystem Owner/User DiscoverySystem Information DiscoveryDomain AccountNetwork Share DiscoverySecurity Software DiscoveryBackup Software Discovery
Movimiento lateral
Remote ServicesRemote Desktop ProtocolSMB/Windows Admin SharesWindows Remote ManagementExploitation of Remote ServicesPass the HashLateral Tool Transfer
Recolección
Data from Local SystemData StagedLocal Data StagingArchive via Utility
Comando y control
Web ProtocolsIngress Tool Transfer
Exfiltración
Exfiltration Over C2 ChannelExfiltration Over Unencrypted Non-C2 ProtocolExfiltration to Cloud Storage
Impacto
Service StopInhibit System Recovery
defense-impairment
Modify RegistryWindows PermissionsCode SigningDisable or Modify Tools
stealth
Command ObfuscationMasquerade Task or ServiceProcess InjectionDynamic-link Library InjectionFile DeletionValid AccountsDomain AccountsBITS JobsRundll32

Vulnerabilidades explotadas 4

CVEs que este grupo es conocido por explotar, según MITRE ATT&CK. Ordenadas por gravedad real.

CVE-2014-7169CRITICALEPSS 100%KEVCVE-2020-1472MEDIUMEPSS 100%KEVCVE-2016-6662EPSS 68%CVE-2017-0176EPSS 46%

El grupo Wizard Spider usa técnicas y explota fallas reales. El Pentest Autónomo con IA de TrueHacking simula esos ataques en tu infraestructura y aporta más seguridad a tu aplicación.

Conocer el Pentest Autónomo con IA →