Diğer Adlar:
· ATK7
· COZER
· COZY BEAR
· COZY DUKE
· COZY CAR
· DUKES
· EUROAPT
· GROUP 100
· HAMMERTOSS
· MINIDIONIS
· OFFICE MONKEYS
· SEA DUKE
· THE DUKES
· YTTRIUM
Hedef Aldıkları Sektörler:
· Savunma
· Devlet Kurumları
· Uluslararası Organizasyonlar
Motivasyonlar ve Hedefler:
· Siber Espiyonaj
· Veri Hırsızlığı
APT29, 2008’den beri var olan ve Rus hükümeti adına hareket ettiği düşünülen devlet destekli bir saldırgan gruptur. Grup, karmaşık ve uzun süreli hedef odaklı operasyonlara izin veren, iyi organize edilmiş son derece yetkin üyelerden oluşur. Grubun ana amacı casusluk ve istihbarat toplamaktır. Bu nedenle grup, hükümet organları ve düşünce kuruluşlarına özel odaklanarak Batılı kuruluşları hedef alır. Ayrıca, ara sıra Orta Doğu, Asya ve Afrika ülkelerini de hedef aldığı görülmüştür. Hedefine ulaşmak için grup, çok sayıda zararlı yazılım kullanmıştır.
Grup, gürültülü bir şekilde de olsa hızlı hareket etmeyi hedefler: Hedef odaklı operasyonları ayrı olmak için değil, birçok kurbana dağıtılmak üzere tasarlanır ve ardından, potansiyel olarak ilginç her bilgiyi hızla yakalayıp dışarı çıkaracak bir kötü amaçlı yazılımın dağıtımı izlenir. Bir kurban ortaya çıktığında, grup genellikle istihbarat toplamak için uzun vadeli kalıcılık için tasarlanmış farklı, daha gizli bir kötü amaçlı yazılıma geçer.
Grubun, Beyaz Saray, Pentagon ve DoS(Department of State) dahil olmak üzere ABD'deki çok sayıda devlet kurumunun 2015'te hacklenmesinden sorumlu olduğundan şüphelenilmektedir.
Kullanılan Araçlar, Zararlı Yazılımlar ve Sömürülen Zaafiyetler
Zararlı Yazılımlar | Sömürülen Zaafiyetler |
CloudDuke CosmicDuke CozyDuke GeminiDuke HammerDuke MiniDuke OnionDuke PinchDuke SeaDuke
| CVE-2010-0232 |
Hedef Aldığı Ülkeler: Türkiye, Azerbaycan, Belçika, Çek Cumhuriyeti, Gürcistan, Macaristan, İrlanda, Kazakistan, Kırgızistan, Luxemburg, Polonya, Portekiz, Romanya, İspanya, Amerika Birleşik Devletleri, Uganda, Ukrayna, Özbekistan
Kampanyalar
2008- PinchDuke: Duke zararlı yazılım ailesinin ilk kampanyası olduğuna inanılmaktadır. APT29'a atfedilen ilk kampanya, Kasım 2008'deki iki PinchDuke saldırısıydı. Bu saldırılar, birincisi "Çeçenya Bilgi Merkezi" ni taklit eden, diğeri "cihat dünyasından haberler" sağladığını iddia eden sahte Türk web siteleriyle ilişkilendirildi.
2009- Batı Ülkelerine Karşı Organize Olma: 2009 yılında, Gürcistan Savunma Bakanlığı ve Türkiye ve Uganda dışişleri bakanlıkları, ABD merkezli dış politika düşünce kuruluşu, Avrupa'da bir NATO tatbikatına bağlı kuruluşlar, Gürcistan "NATO Bilgi Merkezi", Polonya ve Çek Cumhuriyeti'ndeki devlet kurumlarını hedef aldı. Görünüşe göre ABD ve Kuzey Atlantik Antlaşması Örgütü ile ilgili siyasi meselelerle ve Gürcistan-NATO ilişkileri ile ilgilenmiştir.. ABD merkezli düşünce kuruluşunun yanı sıra Polonya ve Çek Cumhuriyeti'ndeki hükümet kurumlarına yönelik saldırıların ABD Başkanı Barack Obama'nın füze savunmalarının konuşlandırılmasından birkaç gün sonra başladığını da bu noktada belirtmek gerekir.
2010- Kafkasya’ya Karşı Organize Olma: 2010 baharı, Türkiye ve Gürcistan'a karşı devam eden PinchDuke kampanyalarına ve ayrıca Kazakistan, Kırgızistan, Azerbaycan ve Özbekistan gibi Bağımsız Devletler Topluluğu üyelerine karşı sayısız kampanyaya tanık oldu.
2013- Avrupa Ülkelerine Karşı Organize Olma: MiniDuke kampanyası sırasında, ATK7, zararlı yazılımını yaymak için kötü amaçlı PDF ekleriyle spear-phishing saldırısında bulundu. "Ukrayna’nın NATO Üyelik Eylem Planı Tartışmaları", "Gayri Resmi Asya-Avrupa Toplantısı (ASEM) İnsan Hakları Semineri" ve "Ukrayna’nın Bölgesel Dış Politika Arayışı" gibi siyasi konular hakkında cazip belgeler kullandılar.
2013 - Yasadışı Madde Ticaretine Karşı Organize Olma: Eylül 2013'te, yasadışı maddelerin ticaretinde yer alan Rus konuşmacıları hedef alan bir CosmicDuke kampanyası gözlemlenmiştir.
2015- CloudDuke Yazılımı: Grup, Temmuz 2015'te, yeni bir kötü amaçlı yazılım olan CloudDuke kullanarak büyük ölçekli bir phishing kampanyası yürüttü.
2018: Uzun bir aradan sonra, 2018'de APT29 ile bağlantılı bir phishing kampanyası ortaya çıktı. Düşünce kuruluşlarını, kolluk kuvvetlerini, savunma şirketlerini ve devlet kurumlarını hedefleyen bu kampanya, ABD Dışişleri Bakanlığı'ndanmış gibi görünen sahte bir belge kullandı. Grup, mesajlarını göndermek için bir hastanenin ve bir danışmanlık şirketinin web sitesini ele geçirdi. Bu kampanya için grup, kötü amaçlı Windows kısayollarını kullanarak CobaltStrike Beacon kötü amaçlı yazılımını kullandı.
Taktik ve Teknikler (MITRE ATT&CK Framework)
Reconnaissance
Resource Development
T1583.006 – Acquire Infrastructure: Web Services
T1587.003 – Develop Capabilities: Digital Certificates
Initial Access
T1078.002 - Valid Accounts: Domain Accounts
T1566.002 – Phishing: Spearphishing Link
T1566.001 – Phishing: Spearphishing Attachment
Execution
T1047 - Windows Management Instrumentation
T1053.005 – Scheduled Task/Job: Scheduled Task
T1059.001 – Command and Scripting Interpreter: PowerShell
T1059.006 - Command and Scripting Interpreter: Python
T1203 - Exploitation for Client Execution
T1204.002 - User Execution: Malicious File
Persistence
T1546.008 – Event Triggered Execution: Accessibility Features
T1547.009 - Boot or Logon Autostart Execution: Shortcut
T1547.001 – Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder
T1546.003 - Windows Management Instrumentation Event Subscription
Privilege Escalation
T1546.008- Event Triggered Execution: Accessibility Features
T1543.003 - Create or Modify System Process: Windows Service
T1053.005 – Scheduled Task/Job: Scheduled Task
T1055 - Process Injection
T1068 - Exploitation for Privilege Escalation
T1078 - Valid Accounts
T1548.002 - Abuse Elevation Control Mechanism: Bypass User Account Control
T1134.005 - SID-History Injection
Defense Evasion
T1036 - Masquerading
T1027.002 - Obfuscated Files or Information: Software Packing
T1055 - Process Injection
T1059 - Scripting
T1027.005 - Obfuscated Files or Information: Indicator Removal from Tools
T1078 - Valid Accounts
T1218.011 - Signed Binary Proxy Execution: Rundll32
T1548.002 - Abuse Elevation Control Mechanism: Bypass User Account Control
T1055.012 - Process Injection: Process Hollowing
T1564.004 - Hide Artifacts: NTFS File Attributes
T1070.006 - Indicator Removal on Host: Timestomp
T1102 - Web Service
T1070.004 - Indicator Removal on Host: File Deletion
T1553.002 – Subvert Trust Controls: Code Signing
T1134 - Access Token Manipulation
T1197 - BITS Jobs
T1207 - Rogue Domain Controller
T1497 - Virtualization/Sandbox Evasion
Credential Access
T1003 – OS Credential Dumping
T1056 - Input Capture
T1552.001 – Unsecured Credentials: Credentials in Files
T1098 - Account Manipulation
T1551.004 - Unsecured Credentials: Private Keys
Discovery
T1007 - System Service Discovery
T1010 - Application Window Discovery
T1016 - System Network Configuration Discovery
T1018 - Remote System Discovery
T1033 - System Owner/User Discovery
T1046 - Network Service Scanning
T1057 - Process Discovery
T1518.001 – Software Discovery: Security Software Discovery
T1082 - System Information Discovery
T1083 - File and Directory Discovery
T1087 - Account Discovery
T1124 - System Time Discovery
T1135 - Network Share Discovery
T1497 - Virtualization/Sandbox Evasion
Lateral Movement
T1021.006 - Remote Services: Windows Remote Management
T1550.002 - Use Alternate Authentication Material: Pass the Hash
T1021.001 – Remote Services: Remote Desktop Protocol
T1021.002 – Remote Services: SMB/Windows Admin Shares
T1550.003 - Use Alternate Authentication Material: Pass the Ticket
T1544 - Remote File Copy
T1021.003 – Remote Services: Distributed Component Object Model
Collection
T1005 - Data from Local System
T1025 - Data from Removable Media
T1039 - Data from Network Shared Drive
T1056 - Input Capture
T1113 - Screen Capture
T1114 - Email Collection
T1115 - Clipboard Data
T1185 - Man in the Browser
Command and Control
T1001 - Data Obfuscation
T1008 - Fallback Channels
T1573 – Encrypted Channel
T1521 - Standard Cryptographic Protocol
T1436 - Commonly Used Port
T1071 - Application Layer Protocol
T1095 - Non-Application Layer Protocol
T1102 - Web Service
T1544 - Remote File Copy
T1132 - Data Encoding
T1090.004 – Proxy: Domain Fronting
T1090.003 – Proxy: Multi-hop Proxy
T1568.002 – Dynamic Resolution: Domain Generation Algorithms
Exfiltration
T1560 - Archive Collected Data
T1020 - Automated Exfiltration
T1029 - Scheduled Transfer
T1030 - Data Transfer Size Limits
T1048 - Exfiltration Over Alternative Protocol
Impact
T1485 - Data Destruction
0 Yorumlar