APT29

OrigemRússia

Técnicas (MITRE ATT&CK)66

FonteMITRE ATT&CK

Também conhecido como:IRON RITUALIRON HEMLOCKNobleBaronDark HaloNOBELIUMUNC2452YTTRIUMThe DukesCozy BearCozyDukeSolarStormBlue KitsuneUNC3524Midnight Blizzard

Análise Vexday

APT29 é um grupo de ameaça persistente avançada atribuído ao Serviço de Inteligência Estrangeira da Rússia (SVR), em operação desde pelo menos 2008, com histórico de ações contra redes governamentais na Europa e em países membros da OTAN, institutos de pesquisa e think tanks. O grupo é associado ao comprometimento do Comitê Nacional Democrata dos EUA a partir do verão de 2015 e ao incidente de supply chain conhecido como SolarWinds Compromise, atribuído ao SVR pelos governos dos Estados Unidos e do Reino Unido em abril de 2021. Também referenciado como NOBELIUM, UNC2452, Dark Halo, IRON RITUAL, IRON HEMLOCK, NobleBaron e IRON HEMLOCK, o grupo possui 66 técnicas documentadas no MITRE ATT&CK (identificador G0016) e 7 CVEs a ele atribuídas.

Técnicas (MITRE ATT&CK) 66

Como o grupo opera, mapeado pela matriz MITRE ATT&CK e organizado pelas fases de um ataque.

Reconhecimento

Vulnerability Scanning

Preparação de recursos

Web Services Email Accounts Cloud Accounts Malware Digital Certificates Tool

Acesso inicial

Exploit Public-Facing Application Trusted Relationship Spearphishing Attachment Spearphishing Link Spearphishing via Service

Execução

Windows Management Instrumentation Scheduled Task PowerShell Python Cloud API Exploitation for Client Execution Malicious Link Malicious File Cloud Administration Command

Persistência

Boot or Logon Initialization Scripts RC Scripts Additional Email Delegate Permissions Device Registration External Remote Services Cloud Account Web Shell Registry Run Keys / Startup Folder

Escalada de privilégio

Exploitation for Privilege Escalation Windows Management Instrumentation Event Subscription Accessibility Features Bypass User Account Control

Acesso a credenciais

Security Account Manager LSA Secrets Password Guessing Password Spraying Steal Application Access Token Multi-Factor Authentication Request Generation Steal or Forge Authentication Certificates

Descoberta

Internet Connection Discovery Cloud Account

Movimento lateral

Cloud Services Pass the Ticket

Coleta

Data from Local System Remote Email Collection

Comando e controle

External Proxy Multi-hop Proxy Domain Fronting Ingress Tool Transfer Dynamic Resolution Encrypted Channel Hide Infrastructure

defense-impairment

Mark-of-the-Web Bypass Hybrid Identity Disable or Modify Cloud Log

stealth

Binary Padding Software Packing HTML Smuggling Match Legitimate Resource Name or Location File Deletion Timestomp Valid Accounts Local Accounts Cloud Accounts Mshta

Vulnerabilidades exploradas 7

CVEs que este grupo é conhecido por explorar, segundo o MITRE ATT&CK. Ordenadas por gravidade real.

CVE-2019-11510CRITICALEPSS 100%KEV CVE-2019-19781CRITICALEPSS 100%KEV CVE-2018-13379CRITICALEPSS 100%KEV CVE-2019-9670CRITICALEPSS 100%KEV CVE-2014-7169CRITICALEPSS 100%KEV CVE-2021-36934HIGHEPSS 67%KEV CVE-2016-6662EPSS 68%

O grupo APT29 usa técnicas e explora falhas reais. O Pentest Autônomo com IA da TrueHacking simula esses ataques na sua infraestrutura e traz mais segurança para sua aplicação.

Conhecer o Pentest Autônomo com IA →