Dragonfly

OrigemRússia

Técnicas (MITRE ATT&CK)56

FonteMITRE ATT&CK

Também conhecido como:TEMP.IsotopeDYMALLOYBerserk BearTG-4192Crouching YetiIRON LIBERTYEnergetic BearGhost BlizzardBROMINE

Análise Vexday

Dragonfly é um grupo de espionagem cibernética atribuído ao Centro 16 do Serviço Federal de Segurança da Rússia (FSB), ativo desde pelo menos 2010. Seus alvos incluem empresas de defesa e aviação, entidades governamentais, organizações ligadas a sistemas de controle industrial e setores de infraestrutura crítica ao redor do mundo, com ataques conduzidos por meio de comprometimento de cadeias de suprimento, spearphishing e drive-by compromise. O grupo é rastreado pelo MITRE ATT&CK sob o identificador G0035, com 56 técnicas documentadas e 8 CVEs atribuídas à sua atuação, sendo também conhecido pelos aliases TEMP.Isotope, DYMALLOY, Berserk Bear, TG-4192, Crouching Yeti e IRON LIBERTY.

Técnicas (MITRE ATT&CK) 56

Como o grupo opera, mapeado pela matriz MITRE ATT&CK e organizado pelas fases de um ataque.

Reconhecimento

Business Relationships Vulnerability Scanning Spearphishing Attachment Spearphishing Link

Preparação de recursos

Domains Virtual Private Server Server Tool Drive-by Target

Acesso inicial

Drive-by Compromise Exploit Public-Facing Application Compromise Software Supply Chain Spearphishing Attachment

Execução

Scheduled Task Command and Scripting Interpreter PowerShell Windows Command Shell Python Exploitation for Client Execution Malicious File

Persistência

Additional Local or Domain Groups External Remote Services Local Account Web Shell Registry Run Keys / Startup Folder

Acesso a credenciais

Security Account Manager NTDS LSA Secrets Brute Force Password Cracking Forced Authentication

Descoberta

Query Registry System Network Configuration Discovery Remote System Discovery System Owner/User Discovery Domain Groups File and Directory Discovery Domain Account Network Share Discovery

Movimento lateral

Remote Desktop Protocol Exploitation of Remote Services

Coleta

Data from Local System Local Data Staging Screen Capture Remote Email Collection Archive Collected Data

Comando e controle

File Transfer Protocols Ingress Tool Transfer

defense-impairment

Modify Registry Clear Windows Event Logs Disable or Modify System Firewall

stealth

Masquerade Account Name File Deletion Valid Accounts Template Injection Hidden Users

Vulnerabilidades exploradas 8

CVEs que este grupo é conhecido por explorar, segundo o MITRE ATT&CK. Ordenadas por gravidade real.

CVE-2019-19781CRITICALEPSS 100%KEV CVE-2018-13379CRITICALEPSS 100%KEV CVE-2020-0688HIGHEPSS 100%KEV CVE-2014-7169CRITICALEPSS 100%KEV CVE-2020-1472MEDIUMEPSS 100%KEV CVE-2011-0611HIGHEPSS 99%KEV CVE-2016-6662EPSS 68%CVE-2017-0176EPSS 46%

O grupo Dragonfly usa técnicas e explora falhas reais. O Pentest Autônomo com IA da TrueHacking simula esses ataques na sua infraestrutura e traz mais segurança para sua aplicação.

Conhecer o Pentest Autônomo com IA →