Diğer Adlar:
· ATK5
· FANCY BEAR
· GROUP 74
· GROUP-4127
· IRON TWILIGHT
· PAWN STORM
· SNAKEMACKEREL
· STRONTIUM
· SEDNIT
· SOFACY
· SWALLOWTAIL
· TAG_0700 TG-4127
· TSAR TEAM
Hedef Aldıkları Sektörler: Havacılık, Siber Güvenlik, Savunma Sanayi, Elçilikler, Devlet Kurumları, Uluslar arası Organizasyonlar, Basın
Motivasyonlar ve Hedefler:
· Siber Espiyonaj
· Politik Manipülasyon
APT28, 2004 yılından bu yana faaliyet gösteren ve Rusya hükümetine fayda sağlayan siyasi ve askeri hedefler gibi belirli hedeflerden gizli bilgileri çalmayı amaçlayan, Rus devletinin sponsor olduğu bir saldırgan grubudur. Karmaşık modüler kötü amaçlı yazılımlar geliştirme ve birden fazla sıfırıncı günden( zero day) yararlanma becerisine sahip yetenekli bir ekiptir. Avrupa hükümetlerinden kamuoyuna yapılan açıklamalara ve ABD Adalet Bakanlığı'nın iddianamelerine rağmen, APT28 Avrupa ve Avrasya'daki siyasi ve savunma sektörünü hedefleyen operasyonlarına devam ediyor. Bu APT grubu, Moskova ve St. Petersburg dahil olmak üzere Rusya'nın büyük şehirlerinin saat dilimiyle tutarlı olarak, çalışma saatlerinde (08:00 - 18:00) Rusça dil ayarlarıyla kötü amaçlı yazılım örnekleri derler.
Kullanılan Araçlar, Zararlı Yazılımlar ve Sömürülen Zaafiyetler
Zararlı Yazılımlar | Sömürülen Zaafiyetler | Diğer Yazılımlar |
BADVSTORESHELL Cannon CORESHELL DealersChoice Downdelph HIDEDRV JHUHUGIT Komplex LoJax OLDBAIT USBStealer X-Agent XAgentOSX X-Agent for Android XTunnel Zebrocy | CVE-2017-0144 CVE-2014-1776 CVE-2014-1761 CVE-2012-0158 CVE-2015-5119 CVE-2013-3906 CVE-2015-7645 CVE-2015-2387 CVE-2010-3333 CVE-2015-1641 CVE-2013-1347 CVE-2013-3897 CVE-2015-3043 CVE-2015-2424 CVE-2015-1642 CVE-2015-2590 CVE-2015-1701 CVE-2015-4902 CVE-2017-0262 CVE-2017-0263 CVE-2014-4076 CVE-2014-0515 | Certutil Forfiles Koadic Mimikatz Responder Winexe |
Hedef Aldığı Ülkeler: Türkiye, Afganistan, Ermenistan, Belarus, Belçika, Brezilya, Bulgaristan, Kanada, Çin, Fransa, Gürcistan, Almanya, Macaristan, İran, Japonya, Kazakistan, Letonya, Malezya, Moğolistan, Karadağ, Hollanda, Polonya, Romanya, Slovakya, Güney Amerika, Güney Kore, İspanya, İsveç, İsviçre, Tacikistan, Ukrayna, İngiltere, Amerika Birleşik Devletleri
Kampanyalar
2008- Amerikan Savunma Bakanlığı’na saldırı
Ekim 2011- Fransız Savunma Bakanlığı’na spearphishing saldırısı
2012- Irak’ta bulunan Vatikan elçiliğine spearphishing saldırısı
2013- Gürcistan İçişleri Bakanlığı’na yönelik saldırı
2013- Doğu Avrupa Dışişleri Bakanlığı’na yönelik saldırı
2014- Pakistan askeri yetkililerine yönelik spearphishing saldırıları
2014- Eylül 2014'te APT28, "Savunma, Güvenlik, Enerji, Kamu Hizmetleri, Finans ve İlaç sektörleri için etkinlikler planlayan bir şirket olan SMi Group için bunu taklit eden bir alan adı (smigroup-online.co [.] Uk) kaydetti.
2014-2015- PawnStorm Operasyonu: Ordu, hükümetler, savunma endüstrileri ve medya gibi çok çeşitli kuruluşları hedefleyen ekonomik ve politik bir siber casusluk operasyonudur. Bu operasyon sırasında APT28, Kırgızistan Dışişleri Bakanlığı'ndan gelen e-posta trafiğini yakalamıştır.
2014-2016- Android X-Agent: Ukrayna ağır silahı olan D-30’un operatörleri, hedef alabilmek için bir Android uygulaması kullanır. Bu uygulamada APT28, X-Agent’ın Android sürümü kullanılarak uygulamanın işlevine müdahale etmeden ekip, hiyerarşileri hakkında bilgi toplayıp yaklaşık bir konum elde etmeyi başarmıştır.
2015- TV5Monde’ye siber saldırı
2015- Almanya Parlamentosu’na saldırı
2015- Ukrayna Merkezi Seçim Komisyonu’na saldırı
2016- Hilary Clinton’ın başkanlık kampanyasını hedef alması
2016- Amerikan devlet kurumuna spearphishing saldırısı
2018- Dünyanın dört bir yanındaki Dışişleri Bakanlıkları’na saldırı
Taktik ve Teknikler (MITRE ATT&CK Framework)
Reconnaissance
Resource Development
T1583.001- Acquire Infrastructure: Domain
Initial Access
T1078 - Valid Accounts
T1091 - Replication Through Removable Media
T1566.002 – Phishing: Spearphishing Link
T1566.001 – Phishing: Spearphishing Attachment
T1199 - Trusted Relationship
Execution
T1218.011 - Signed Binary Proxy Execution: Rundll32
T1059.001 - Command and Scripting Interpreter: PowerShell
T1559.002 - Inter-Process Communication: Dynamic Data Exchange
T1203 - Exploitation for Client Execution
T1204 - User Execution
Persistence
T1037 - Boot or Logon Initialization Scripts
T1542.003 - Pre-OS Boot: Bootkit
T1078 - Valid Accounts
T1546.015 - Event Triggered Execution: Component Object Model Hijacking
T1137 - Office Application Startup
T1564.001 - Hide Artifacts: Hidden Files and Directories
Privilege Escalation
T1068 - Exploitation for Privilege Escalation
T1078 - Valid Accounts
T1134 - Access Token Manipulation
Defense Evasion
T1014 - Rootkit
T1027 - Obfuscated Files or Information
T1078 - Valid Accounts
T1218.011 - Signed Binary Proxy Execution: Rundll32
T1070.006 - Indicator Removal on Host: Timestomp
T1070.004 - Indicator Removal on Host: File Deletion
T1546.015 - Event Triggered Execution: Component Object Model Hijacking
T1134 - Access Token Manipulation
T1564.001 - Hide Artifacts: Hidden Files and Directories
T1221 - Template Injection
T1140 - Deobfuscate/Decode Files or Information
T1211 - Exploitation for Defense Evasion
Credential Access
T1003 – OS Credential Dumping
T1040 - Network Sniffing
T1056 - Input Capture
Discovery
T1040 - Network Sniffing
T1057 - Process Discovery
T1083 - File and Directory Discovery
T1120 - Peripheral Device Discovery
Lateral Movement
T1037 - Boot or Logon Initialization Scripts
T1550.002 - Use Alternate Authentication Material: Pass the Hash
T1091 - Replication Through Removable Media
T1544 - Remote File Copy
T1210 - Exploitation of Remote Services
Collection
T1005 - Data from Local System
T1025 - Data from Removable Media
T1056 - Input Capture
T1074 - Data Staged
T1113 - Screen Capture
T1114 - Email Collection
T1119 - Automated Collection
T1213 - Data from Information Repositories
Command and Control
T1001 - Data Obfuscation
T1024 - Custom Cryptographic Protocol
T1071 - Application Layer Protocol
T1090 - Connection Proxy
T1092 - Communication Through Removable Media
T1544 - Remote File Copy
Exfiltration
T1560 - Archive Collected Data
0 Yorumlar