APT29

OrigenRússia

Técnicas (MITRE ATT&CK)66

FuenteMITRE ATT&CK

También conocido como:IRON RITUALIRON HEMLOCKNobleBaronDark HaloNOBELIUMUNC2452YTTRIUMThe DukesCozy BearCozyDukeSolarStormBlue KitsuneUNC3524Midnight Blizzard

Análisis Vexday

APT29 é um grupo de ameaça persistente avançada atribuído ao Serviço de Inteligência Estrangeira da Rússia (SVR), em operação desde pelo menos 2008, com histórico de ações contra redes governamentais na Europa e em países membros da OTAN, institutos de pesquisa e think tanks. O grupo é associado ao comprometimento do Comitê Nacional Democrata dos EUA a partir do verão de 2015 e ao incidente de supply chain conhecido como SolarWinds Compromise, atribuído ao SVR pelos governos dos Estados Unidos e do Reino Unido em abril de 2021. Também referenciado como NOBELIUM, UNC2452, Dark Halo, IRON RITUAL, IRON HEMLOCK, NobleBaron e IRON HEMLOCK, o grupo possui 66 técnicas documentadas no MITRE ATT&CK (identificador G0016) e 7 CVEs a ele atribuídas.

Técnicas (MITRE ATT&CK) 66

Cómo opera el grupo, mapeado por la matriz MITRE ATT&CK y organizado por las fases de un ataque.

Reconocimiento

Vulnerability Scanning

Preparación de recursos

Web Services Email Accounts Cloud Accounts Malware Digital Certificates Tool

Acceso inicial

Exploit Public-Facing Application Trusted Relationship Spearphishing Attachment Spearphishing Link Spearphishing via Service

Ejecución

Windows Management Instrumentation Scheduled Task PowerShell Python Cloud API Exploitation for Client Execution Malicious Link Malicious File Cloud Administration Command

Persistencia

Boot or Logon Initialization Scripts RC Scripts Additional Email Delegate Permissions Device Registration External Remote Services Cloud Account Web Shell Registry Run Keys / Startup Folder

Escalada de privilegios

Exploitation for Privilege Escalation Windows Management Instrumentation Event Subscription Accessibility Features Bypass User Account Control

Acceso a credenciales

Security Account Manager LSA Secrets Password Guessing Password Spraying Steal Application Access Token Multi-Factor Authentication Request Generation Steal or Forge Authentication Certificates

Descubrimiento

Internet Connection Discovery Cloud Account

Movimiento lateral

Cloud Services Pass the Ticket

Recolección

Data from Local System Remote Email Collection

Comando y control

External Proxy Multi-hop Proxy Domain Fronting Ingress Tool Transfer Dynamic Resolution Encrypted Channel Hide Infrastructure

defense-impairment

Mark-of-the-Web Bypass Hybrid Identity Disable or Modify Cloud Log

stealth

Binary Padding Software Packing HTML Smuggling Match Legitimate Resource Name or Location File Deletion Timestomp Valid Accounts Local Accounts Cloud Accounts Mshta

Vulnerabilidades explotadas 7

CVEs que este grupo es conocido por explotar, según MITRE ATT&CK. Ordenadas por gravedad real.

CVE-2019-11510CRITICALEPSS 100%KEV CVE-2019-19781CRITICALEPSS 100%KEV CVE-2018-13379CRITICALEPSS 100%KEV CVE-2019-9670CRITICALEPSS 100%KEV CVE-2014-7169CRITICALEPSS 100%KEV CVE-2021-36934HIGHEPSS 67%KEV CVE-2016-6662EPSS 68%

El grupo APT29 usa técnicas y explota fallas reales. El Pentest Autónomo con IA de TrueHacking simula esos ataques en tu infraestructura y aporta más seguridad a tu aplicación.

Conocer el Pentest Autónomo con IA →