Sandworm Team

OrigemRússia

Técnicas (MITRE ATT&CK)79

FonteMITRE ATT&CK

Também conhecido como:ELECTRUMTelebotsIRON VIKINGBlackEnergy (Group)QuedaghVoodoo BearIRIDIUMSeashell BlizzardFROZENBARENTSAPT44

Análise Vexday

Sandworm Team é um grupo de ameaça destrutivo atribuído à Unidade Militar 74455 do Centro Principal de Tecnologias Especiais (GTsST) do GRU, serviço de inteligência militar russo, com atividade documentada desde pelo menos 2009. Em outubro de 2020, os Estados Unidos indiciaram seis oficiais da Unidade 74455 associados ao grupo por operações cibernéticas que incluem os ataques de 2015 e 2016 contra empresas de energia elétrica e organizações governamentais ucranianas, o ataque global NotPetya de 2017, ações contra a campanha presidencial francesa de 2017 e o ataque Olympic Destroyer de 2018. O grupo é rastreado pelo MITRE ATT&CK sob o identificador G0034, com 79 técnicas documentadas e 4 CVEs atribuídas, sendo também conhecido pelos aliases ELECTRUM, Telebots, IRON VIKING, BlackEnergy (Group), Quedagh e Voodoo Bear.

Técnicas (MITRE ATT&CK) 79

Como o grupo opera, mapeado pela matriz MITRE ATT&CK e organizado pelas fases de um ataque.

Reconhecimento

Email Addresses Employee Names Domain Properties Business Relationships Software Search Open Websites/Domains Search Victim-Owned Websites Vulnerability Scanning Spearphishing Link

Preparação de recursos

Acquire Infrastructure Domains Server Server Botnet Social Media Accounts Email Accounts Social Media Accounts Malware Tool Vulnerabilities Upload Malware

Acesso inicial

Exploit Public-Facing Application Supply Chain Compromise Compromise Software Supply Chain Trusted Relationship Spearphishing Attachment Spearphishing Link

Execução

Windows Management Instrumentation Scheduled Task PowerShell Visual Basic Software Deployment Tools Native API Exploitation for Client Execution Malicious Link Malicious File

Persistência

External Remote Services Web Shell

Acesso a credenciais

LSASS Memory NTDS Network Sniffing Steal Web Session Cookie Credentials from Web Browsers

Descoberta

Remote System Discovery System Owner/User Discovery System Network Connections Discovery System Information Discovery File and Directory Discovery Domain Account Email Account

Movimento lateral

SMB/Windows Admin Shares Lateral Tool Transfer

Coleta

Data from Local System Keylogging Databases

Comando e controle

Web Protocols Proxy Bidirectional Communication Ingress Tool Transfer Standard Encoding Remote Access Tools Non-Standard Port

Exfiltração

Exfiltration Over C2 Channel

Impacto

Data Destruction Data Encrypted for Impact Service Stop Inhibit System Recovery External Defacement Endpoint Denial of Service Disk Structure Wipe

stealth

Obfuscated Files or Information Command Obfuscation Masquerading Match Legitimate Resource Name or Location File Deletion Valid Accounts Domain Accounts Deobfuscate/Decode Files or Information Rundll32

Vulnerabilidades exploradas 4

CVEs que este grupo é conhecido por explorar, segundo o MITRE ATT&CK. Ordenadas por gravidade real.

CVE-2014-7169CRITICALEPSS 100%KEV CVE-2013-3906HIGHEPSS 85%KEV CVE-2014-4114HIGHEPSS 82%KEV CVE-2016-6662EPSS 68%

O grupo Sandworm Team usa técnicas e explora falhas reais. O Pentest Autônomo com IA da TrueHacking simula esses ataques na sua infraestrutura e traz mais segurança para sua aplicação.

Conhecer o Pentest Autônomo com IA →