APT29
APT29 hatte in den vergangenen Jahren viele Pseudonyme: IRON RITUAL, IRON HEMLOCK, NobleBaron, Dark Halo, StellarParticle, NOBELIUM, UNC2452, YTTRIUM, The Dukes, Cozy Bear, CozyDuke, SolarStorm, Blue Kitsune, UNC3524, Cloaked Ursa und neuerdings Midnight Blizzard. Aber wer sind sie und wie arbeiten sie? Lassen Sie uns das herausfinden, um Ihr Unternehmen bestmöglich vor ihnen zu schützen.
Der Ursprung von APT29
Es wird vermutet, dass APT29 mit dem russischen Auslandsgeheimdienst (SVR) verbunden ist, was auf staatlich geförderte Cyber-Aktivitäten hindeutet.
Die Gruppe ist bekannt für ihre technische Disziplin, ihre Raffinesse und ihre Fähigkeit, sich an defensive IT-Sicherheitstaktiken anzupassen.
APT29 ist seit 2008 aktiv und hat unter anderem das Netzwerk des Pentagons angegriffen, die Server des Demokratischen Nationalkomitees kompromittiert und Schwachstellen-Scans von öffentlich zugänglichen IP-Adressen durchgeführt.
Es wird angenommen, dass APT29 für die SolarWinds-Kompromittierung im Jahr 2021 und für den Angriff auf Microsoft im Januar 2024 verantwortlich ist.
Bild: Raymond Andrè Hagen
Ziele
Die Ziele von APT29
Länder, die im Visier der APT29 stehen
APT29 zielt auf Regierungsnetzwerke in Europa und NATO-Mitgliedsländern ab, wo sie Cyberspionage gegen Unternehmen und Denkfabriken betreibt.
Quelle: MITRE & SOCradar
Branchen im Visier von APT29
Zu den Hauptzielen von APT29 gehören Regierungen, politische Organisationen, Forschungsunternehmen und kritische Branchen wie der Energiesektor, Gesundheitswesenund Bildung, Finanzen und Technologie.
Branchen im Visier von APT29
Zu den Hauptzielen von APT29 gehören Regierungen, politische Organisationen, Forschungsunternehmen und kritische Branchen wie der Energiesektor, Gesundheitswesenund Bildung, Finanzen und Technologie.
Angriffsmethode
Die Angriffsmethode von APT29
APT29 nutzt Schwachstellen in öffentlich zugänglichen Anwendungen aus und betreibt Spearphishing mit bösartigen Links oder Anhängen, um in Zielnetzwerke einzudringen.
Sie haben auch IT- und Managed-Service-Anbieter in die Lage versetzt, vertrauensvolle Beziehungen für einen breiteren Zugang zu nutzen.
Die Gruppe nutzt Techniken zur Umgehung der Benutzerkontensteuerung (UAC ) und zur Ausnutzung von Softwareschwachstellen, um erweiterte Rechte zu erlangen.
Dies ermöglicht ihnen die Ausführung von Code mit höheren Zugriffsrechten, was für die Tiefe und Unauffälligkeit ihrer Operationen entscheidend ist.
APT29 ist geschickt darin, Sicherheitstools und Firewall-Einstellungen zu deaktivieren oder zu verändern, um unentdeckt zu bleiben.
Sie verwenden Verschleierungstechniken wie Software-Packing und die Maskierung bösartiger Dateien mit legitimen Namen, um ihre Präsenz und Aktivitäten zu verbergen.
Die Gruppe verwendet verschiedene Methoden, um auf Konten und Anmeldedaten zuzugreifen und diese zu manipulieren, darunter Brute-Force-Angriffe und das Stehlen von Anmeldedaten aus Browsern oder durch Passwort-Dumping.
Sie manipulieren cloud und E-Mail-Konten, um Zugang und Kontrolle über Ressourcen zu erhalten.
APT29 führt mithilfe von Tools und Skripten umfangreiche Erkundungsaktionen durch, um Informationen über Netzwerkkonfigurationen, Domänenkonten und interne Ressourcen zu sammeln.
Dazu gehört die Aufzählung von Remote-Systemen, Domänengruppen und Berechtigungsgruppen , um wertvolle Ziele zu identifizieren.
Mithilfe kompromittierter Anmeldedaten und manipulierter Kontoberechtigungen bewegt sich APT29 durch Netzwerke und greift auf eingeschränkte Bereiche zu.
Sie nutzen Remote-Dienste, Proxy-Techniken und administrative Konten für eine nahtlose Navigation in kompromittierten Umgebungen.
Die Gruppe hat es auf sensible Datenspeicher, E-Mail-Konten und lokale Systemdaten abgesehen.
Sie setzen Methoden ein, um Daten für die Exfiltration zu inszenieren, zu komprimieren und zu sichern, wobei sie sich auf wertvolle Geheimdienstinformationen und geschützte Informationen konzentrieren.
APT29 führt Befehle und Nutzdaten über kompromittierte Netzwerke aus, indem er verschiedene Skript-Interpreter und Befehlszeilen-Dienstprogramme verwendet.
Sie nutzen Remote-Dienste und geplante Aufgaben, um malware einzusetzen und ihre Kontrolle über die Netzwerke zu erweitern.
Die Daten werden über verschlüsselte Kanäle exfiltriert, wobei Methoden verwendet werden, die eine sichere Übertragung der gestohlenen Daten aus dem Netzwerk gewährleisten.
APT29 speichert die Daten in passwortgeschützten Archiven und verwendet Webprotokolle für die Datenübertragung, wobei der Schwerpunkt auf Tarnung und Sicherheit liegt.
Die Aktivitäten der Gruppe können zu erheblichem Datendiebstahl, Spionage und einer möglichen Störung kritischer Systeme führen.
Durch die Änderung von Domain-Vertrauenseinstellungen und den Einsatz von malware, das Daten manipuliert oder verschlüsselt, untergräbt APT29 die Systemintegrität und -verfügbarkeit und stellt damit ein ernsthaftes Risiko für die nationale Sicherheit und den Unternehmensbetrieb dar.
Erster Zugang
APT29 nutzt Schwachstellen in öffentlich zugänglichen Anwendungen aus und betreibt Spearphishing mit bösartigen Links oder Anhängen, um in Zielnetzwerke einzudringen.
Sie haben auch IT- und Managed-Service-Anbieter in die Lage versetzt, vertrauensvolle Beziehungen für einen breiteren Zugang zu nutzen.
Rechte-Eskalation
Die Gruppe nutzt Techniken zur Umgehung der Benutzerkontensteuerung (UAC ) und zur Ausnutzung von Softwareschwachstellen, um erweiterte Rechte zu erlangen.
Dies ermöglicht ihnen die Ausführung von Code mit höheren Zugriffsrechten, was für die Tiefe und Unauffälligkeit ihrer Operationen entscheidend ist.
Verteidigung Umgehung
APT29 ist geschickt darin, Sicherheitstools und Firewall-Einstellungen zu deaktivieren oder zu verändern, um unentdeckt zu bleiben.
Sie verwenden Verschleierungstechniken wie Software-Packing und die Maskierung bösartiger Dateien mit legitimen Namen, um ihre Präsenz und Aktivitäten zu verbergen.
Zugang zu Anmeldeinformationen
Die Gruppe verwendet verschiedene Methoden, um auf Konten und Anmeldedaten zuzugreifen und diese zu manipulieren, darunter Brute-Force-Angriffe und das Stehlen von Anmeldedaten aus Browsern oder durch Passwort-Dumping.
Sie manipulieren cloud und E-Mail-Konten, um Zugang und Kontrolle über Ressourcen zu erhalten.
Entdeckung
APT29 führt mithilfe von Tools und Skripten umfangreiche Erkundungsaktionen durch, um Informationen über Netzwerkkonfigurationen, Domänenkonten und interne Ressourcen zu sammeln.
Dazu gehört die Aufzählung von Remote-Systemen, Domänengruppen und Berechtigungsgruppen , um wertvolle Ziele zu identifizieren.
Seitliche Bewegung
Mithilfe kompromittierter Anmeldedaten und manipulierter Kontoberechtigungen bewegt sich APT29 durch Netzwerke und greift auf eingeschränkte Bereiche zu.
Sie nutzen Remote-Dienste, Proxy-Techniken und administrative Konten für eine nahtlose Navigation in kompromittierten Umgebungen.
Sammlung
Die Gruppe hat es auf sensible Datenspeicher, E-Mail-Konten und lokale Systemdaten abgesehen.
Sie setzen Methoden ein, um Daten für die Exfiltration zu inszenieren, zu komprimieren und zu sichern, wobei sie sich auf wertvolle Geheimdienstinformationen und geschützte Informationen konzentrieren.
Ausführung
APT29 führt Befehle und Nutzdaten über kompromittierte Netzwerke aus, indem er verschiedene Skript-Interpreter und Befehlszeilen-Dienstprogramme verwendet.
Sie nutzen Remote-Dienste und geplante Aufgaben, um malware einzusetzen und ihre Kontrolle über die Netzwerke zu erweitern.
Exfiltration
Die Daten werden über verschlüsselte Kanäle exfiltriert, wobei Methoden verwendet werden, die eine sichere Übertragung der gestohlenen Daten aus dem Netzwerk gewährleisten.
APT29 speichert die Daten in passwortgeschützten Archiven und verwendet Webprotokolle für die Datenübertragung, wobei der Schwerpunkt auf Tarnung und Sicherheit liegt.
Auswirkungen
Die Aktivitäten der Gruppe können zu erheblichem Datendiebstahl, Spionage und einer möglichen Störung kritischer Systeme führen.
Durch die Änderung von Domain-Vertrauenseinstellungen und den Einsatz von malware, das Daten manipuliert oder verschlüsselt, untergräbt APT29 die Systemintegrität und -verfügbarkeit und stellt damit ein ernsthaftes Risiko für die nationale Sicherheit und den Unternehmensbetrieb dar.
MITRE ATT&CK Kartierung
Von der APT29 verwendete TTPs
TA0001: Initial Access
T1195
Supply Chain Compromise
T1566
Phishing
T1190
Exploit Public-Facing Application
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
T1651
Cloud Administration Command
T1204
User Execution
T1203
Exploitation for Client Execution
T1059
Command and Scripting Interpreter
T1047
Windows Management Instrumentation
TA0003: Persistence
T1505
Server Software Component
T1547
Boot or Logon Autostart Execution
T1546
Event Triggered Execution
T1556
Modify Authentication Process
T1136
Create Account
T1098
Account Manipulation
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1548
Abuse Elevation Control Mechanism
T1068
Exploitation for Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1546
Event Triggered Execution
T1484
Group Policy Modification
T1078
Valid Accounts
T1053
Scheduled Task/Job
T1037
Boot or Logon Initialization Scripts
TA0005: Defense Evasion
T1553
Subvert Trust Controls
T1218
System Binary Proxy Execution
T1140
Deobfuscate/Decode Files or Information
T1548
Abuse Elevation Control Mechanism
T1036
Masquerading
T1027
Obfuscated Files or Information
T1070
Indicator Removal
T1562
Impair Defenses
T1550
Use Alternate Authentication Material
T1556
Modify Authentication Process
T1484
Group Policy Modification
T1078
Valid Accounts
TA0006: Credential Access
T1649
Steal or Forge Authentication Certificates
T1621
Multi-Factor Authentication Request Generation
T1606
Forge Web Credentials
T1558
Steal or Forge Kerberos Tickets
T1539
Steal Web Session Cookie
T1556
Modify Authentication Process
T1555
Credentials from Password Stores
T1552
Unsecured Credentials
T1110
Brute Force
T1003
OS Credential Dumping
TA0007: Discovery
T1482
Domain Trust Discovery
T1087
Account Discovery
T1083
File and Directory Discovery
T1082
System Information Discovery
T1069
Permission Groups Discovery
T1057
Process Discovery
T1016
System Network Configuration Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
T1550
Use Alternate Authentication Material
T1021
Remote Services
TA0009: Collection
T1560
Archive Collected Data
T1213
Data from Information Repositories
T1114
Email Collection
T1074
Data Staged
T1005
Data from Local System
TA0011: Command and Control
T1102
Web Service
T1573
Encrypted Channel
T1568
Dynamic Resolution
T1105
Ingress Tool Transfer
T1090
Proxy
T1071
Application Layer Protocol
T1001
Data Obfuscation
TA0010: Exfiltration
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
No items found.
Plattform-Detektionen
So erkennen Sie APT29 mit Vectra AI
Häufig gestellte Fragen
Wie können Unternehmen die Aktivitäten von APT29 erkennen?
Die Erkennung von APT29 erfordert fortschrittliche Lösungen zur Erkennung von Bedrohungen, die in der Lage sind, subtile Anzeichen einer Kompromittierung zu erkennen. Eine KI-gesteuerte Bedrohungserkennungsplattform wie Vectra AI kann dabei helfen, versteckte Muster und bösartige Verhaltensweisen aufzudecken, die für APT29-Operationen charakteristisch sind.
Welche Branchen sind am meisten durch APT29 gefährdet?
APT29 zielt auf ein breites Spektrum von Branchen ab, mit besonderem Augenmerk auf die Bereiche Regierung, Diplomatie, Think Tanks, Gesundheitswesen und Energie. Organisationen in diesen Sektoren sollten besonders wachsam sein.
Wie verschafft sich APT29 einen ersten Zugang zu Netzwerken?
APT29 setzt häufig Spearphishing mit bösartigen Anhängen oder Links ein, nutzt Schwachstellen in öffentlich zugänglichen Anwendungen aus und verschafft sich über kompromittierte Anmeldedaten einen ersten Zugang zu den Zielnetzwerken.
Was sollte in einem Reaktionsplan auf ein APT29-Eindringen enthalten sein?
Ein Reaktionsplan sollte die sofortige Isolierung der betroffenen Systeme, eine gründliche Untersuchung zur Ermittlung des Ausmaßes der Sicherheitsverletzung, die Beseitigung der cybercriminels' Tools und des Zugangs sowie eine umfassende Überprüfung zur Verbesserung der Sicherheitsvorkehrungen und zur Verhinderung künftiger Sicherheitsverletzungen umfassen.
Wie kann APT29 innerhalb eines kompromittierten Netzwerks bestehen bleiben?
APT29 verwendet Techniken wie das Hinzufügen von Registrierungsschlüsseln für die automatische Ausführung, die Entführung legitimer Skripte und die Erstellung von Web-Shells auf kompromittierten Servern, um die Persistenz zu gewährleisten.
Gibt es spezielle Tools oder malware , die mit APT29 in Verbindung stehen?
APT29 ist dafür bekannt, dass sie eine Reihe von benutzerdefinierten Tools und malware verwenden, darunter SUNBURST, TEARDROP und malware , die in Python geschrieben sind, ohne darauf beschränkt zu sein. Sie verwenden auch Tools wie Mimikatz für den Diebstahl von Anmeldeinformationen.
Was ist die beste Strategie zum Schutz vor APT29?
Zum Schutz vor APT29 gehört eine mehrschichtige Sicherheitsstrategie, die regelmäßige Patches für Schwachstellen, einen robusten endpoint Schutz, Mitarbeiterschulungen zur Sensibilisierung für phishing und den Einsatz fortschrittlicher Tools zur Erkennung und Abwehr von Bedrohungen umfasst.
Lassen sich die Aktivitäten von APT29 auf bestimmte Cyber-Kampagnen zurückführen?
Ja, APT29 wurde mit mehreren aufsehenerregenden Cyberspionagekampagnen in Verbindung gebracht, darunter die Kompromittierung der SolarWinds Orion-Software-Lieferkette. Sie haben es immer wieder auf Unternehmen abgesehen, die mit den strategischen Interessen der russischen Regierung übereinstimmen.
Wie entgeht APT29 der Entdeckung und was kann man gegen diese Techniken tun?
APT29 nutzt eine Vielzahl von Techniken zur Umgehung der Verteidigung, wie z. B. die Deaktivierung von Sicherheitstools, die Verschleierung ihrer malware und die Nutzung verschlüsselter Kommunikationskanäle. Zu den Gegenmaßnahmen gehören der Einsatz von KI-gesteuerten Bedrohungserkennungsplattformen, die subtiles und komplexes Bedrohungsverhalten erkennen und darauf reagieren können, die Verbesserung der Sichtbarkeit im gesamten Netzwerk und die kontinuierliche Überwachung auf anomale Aktivitäten.
Welche Auswirkungen hat ein Verstoß gegen APT29?
Ein APT29-Angriff kann zu erheblichen Informations- und Datenverlusten, Spionage und einer möglichen Störung kritischer Infrastrukturen führen. Organisationen, die von APT29 betroffen sind, müssen mit Rufschädigung, finanziellen Verlusten und der potenziellen Gefährdung sensibler nationaler Sicherheitsinformationen rechnen.