Добро пожаловать обратно, начинающие кибервоины!
Понимание современных постоянных угроз (APT) крайне важно для всех, кто работает в сфере кибербезопасности, поскольку они представляют собой одни из самых сложных и скрытых атак в цифровом мире .
Среди этих угроз APT28 , также известная как Fancy Bear , Sednit или Sofacy , выделяется как одна из самых опытных и стойких хакерских группировок в мире. Независимо от того, защищаетесь ли вы от реальных атак или тестируете свои системы на симуляциях Red Team, понимание принципов работы APT28 имеет решающее значение.
В этой статье вы узнаете о методах, целях и приемах APT28, которые они используют для проникновения в сети, сохранения доступа, повышения привилегий, горизонтального перемещения и кражи данных.
APT28 — известная российская группа кибершпионажа, связанная с ГРУ. Действуя как минимум с 2004 года, эта группа занимается сбором разведывательной информации и проведением киберопераций, отвечающих стратегическим интересам российского правительства. За проведение этих операций отвечает её специальное военное подразделение, подразделение ГРУ 26165. Fancy Bear классифицируется как продвинутая постоянная угроза (APT), что означает, что она использует сложные методы проникновения в свои цели. Для получения несанкционированного доступа к конфиденциальной информации она использует комплекс тактик, включая эксплойты нулевого дня, фишинг и вредоносное ПО.
Начиная как минимум с 2004 года APT28 нацелилась на правительственные, военные и силовые структуры, особенно в странах-членах НАТО и в Закавказском регионе.
Помимо сбора разведывательной информации, APT28 также стремится создавать помехи и влиять на политические результаты . Их участие в президентских выборах в США в 2016 году продемонстрировало, как кибероперации могут быть использованы для подрыва демократических процессов и сеяния недоверия.
[th]Год[/th][th]Известная деятельность и цели APT28[/th][th]Описание и методы[/th]
[td]2004-2007[/td][td]Самая ранняя предполагаемая активность[/td][td]Судя по времени компиляции вредоносного ПО, APT28, вероятно, начала операции, направленные на грузинские политические и военные структуры, а также на сбор разведывательной информации.[/td]
[td]2008[/td][td]Кибершпионаж против Министерства обороны Грузии[/td][td]Фишинговые атаки, вредоносное ПО, нацеленное на инфраструктуру грузинского правительства.[/td]
[td]2014[/td][td]Громкие инфильтрации в НАТО, агентства ЕС, парламент Германии, украинские военные[/td][td]Использование эксплойтов нулевого дня (Windows, Adobe Flash), фишинг с использованием вредоносных документов Word и сбор учетных данных.[/td]
[td]2015[/td][td]Демократический национальный комитет (DNC) проводит операции по взлому и влиянию на президентские выборы в США[/td][td]Сложные фишинговые кампании с использованием вредоносных документов Office; внедрение вредоносного ПО X-Agent; скрытая утечка данных, привязанная к московскому времени.[/td]
[td]2016[/td][td]Раскрытие информации о допинге на Олимпийских играх, направленное против Всемирного антидопингового агентства (ВАДА) и Международного олимпийского комитета (МОК)[/td][td]Персона «Fancy Bears Hack Team» слила украденные электронные письма в отместку за дисквалификацию российских спортсменов. Вероятно, первоначальный доступ был получен с помощью фишинга.[/td]
[td]2017[/td][td]Расширение на сектор гостеприимства и новые фишинговые кампании по всей Европе[/td][td]Использование методов DDE (динамического обмена данными) в фишинговых документах; нацеливание на Нью-Йорк с помощью тематических приманок; быстрое повторное развертывание вредоносного ПО (например, Seduploader).[/td]
[td]2018[/td][td]Продолжающиеся атаки на французские министерства, региональные правительства и ИТ-подрядчиков, связанных с Олимпийскими играми[/td][td]Продолжаются усиленные фишинговые кампании; эксплуатация уязвимостей в общедоступной инфраструктуре веб-почты и VPN.[/td]
[td]2021[/td][td]Активизация общеевропейского фишингового трафика против министерств, оборонной промышленности и критически важной инфраструктуры[/td][td]Внедрение скрытого, непостоянного вредоносного ПО, такого как HeadLace, и эксплойтов нулевого дня (например, CVE-2023-23397 в Microsoft Outlook) для сбора хэшей NTLM и упрощения повышения привилегий.[/td]
[td]2023-2025[/td][td]Активный кибершпионаж против европейских военных организаций, энергетических компаний и научно-исследовательских институтов[/td][td]Использование многовекторных угроз нулевого дня, угроз нулевого дня в веб-почте, кража токенов OAuth, специализированное вредоносное ПО (варианты X-Agent) с зашифрованными туннелями C2 (X-Tunnel); сложная защита с помощью руткитов и инструментов, работающих вне земли; адаптивная перекомпиляция и повторное развертывание вредоносного ПО в режиме, близком к реальному времени, для обхода обнаружения.[/td]
Страны, на которые нацелена APT28 (Fancy Bear) – обновлено до 2022 года (Brandefense)
Пример документа и части деобфусцированного кода макроса (предоставлено CERT-UA)
CVE-2015-3043:
APT28 эксплуатировала эту уязвимость Adobe Flash Player, которая приводит к переполнению буфера и позволяет удалённому выполнению кода. Когда жертвы посещают вредоносный веб-сайт, эксплойт Flash запускает шелл-код, который загружает и устанавливает дополнительное вредоносное ПО.
CVE-2015-1701:
Получив первоначальный доступ с помощью эксплойта Flash, APT28 использует эту неисправленную уязвимость локального повышения привилегий в ядре Windows. Она позволяет им повысить привилегии до уровня системы, предоставляя полный контроль над скомпрометированным устройством.
Основу устойчивости APT28 составляют их специализированные семейства вредоносных программ, в частности Sofacy (Sednit), X-Agent и более новые наборы инструментов BEARDSHELL и COVENANT.
Пример механизма сохранения для бэкдор-загрузчика BEARDSHELL
(предоставлен CERT-UA)
Подобные уязвимости обычно возникают, когда службы не защищены должным образом или когда разрешения по умолчанию не изменяются во время развертывания. Без строгого контроля доступа злоумышленники могут использовать эти уязвимости для обеспечения устойчивости и сохранения контроля над скомпрометированной системой.
Злоумышленники могут воспользоваться этим, разместив вредоносный исполняемый файл в каталоге по уязвимому пути. В случае успеха их код будет выполнен с теми же привилегиями, что и служба, — часто на уровне SYSTEM , что даст им полный контроль над скомпрометированной машиной.
Группа использует некорректные конфигурации сети и уязвимости в удалённых сервисах для проникновения на другие устройства, включая маршрутизаторы, VPN-устройства и сети сторонних или партнёрских компаний, — стратегия «перемещения по островам», которая косвенно расширяет их влияние. В изолированных или сегментированных средах они используют заражённые USB-накопители, запрограммированные на распространение вредоносного ПО при подключении, что позволяет им проникать в изолированные системы.
APT28 также использует передовые методы обфускации для своих латеральных опор: скомпрометированные машины служат прокси-узлами для маршрутизации трафика, а зашифрованные пользовательские туннели, такие как X-Tunnel, защищают их коммуникации даже в сегментированных сетях. Они активно поддерживают избыточную устойчивость, развертывая множество бэкдоров и механизмов повторного заражения для восстановления доступа в случае обнаружения и удаления.
APT28 использует несколько передовых инструментов для сбора и извлечения конфиденциальных данных из атакуемых систем, уделяя особое внимание скрытности и эффективности. Ниже представлено описание некоторых из их ключевых инструментов и способов их использования:
[th]Категория[/th][th]Техника/Инструмент[/th][th]Цель[/th][th]Стратегия уклонения/запутывания[/th]
[td]Туннелирование и каналы C2[/td][td]X-Tunnel (специальный зашифрованный туннель C2)[/td][td]Безопасная, зашифрованная выгрузка данных и удаленное управление[/td][td]Имитирует трафик SSL/HTTPS, направляет через прокси-серверы, работает в нерабочее время[/td]
[td][/td]
[td]Цепочка прокси-серверов через зараженные промежуточные хосты[/td][td]Скрыть источник сообщения[/td][td]Добавляет переходы для задержки трассировки; прокси-серверы могут динамически переключаться[/td] [td][/td]
[td]Фронтирование домена с использованием облачных сервисов CDN (AWS, Azure, GCP)[/td][td]Скрывает C2 внутри легитимного облачного трафика[/td][td]Совместимость с распространенными облачными доменами; обход доменных брандмауэров[/td] [td]Модульное вредоносное ПО[/td][td]X-Agent / CHOPSTICK[/td][td]Фиксирует нажатия клавиш, снимки экрана, файловые системы[/td][td]Использует модульную архитектуру; выполняется в памяти посредством внедрения процесса[/td] [td][/td]
[td]Загрузчик Sofacy[/td][td]Размещает динамические полезные нагрузки и собирает локальные данные[/td][td]Часто обновляются, упаковываются или шифруются, чтобы избежать статического обнаружения[/td] [td]Упаковка и размещение данных[/td][td]Локальное размещение (zip/сжатие)[/td][td]Организуйте и сократите площадь, занимаемую землей, перед экстракцией[/td][td]Сжимает во временных папках, часто имитируя работу законных архивов[/td] [td][/td]
[td]Порционная передача[/td][td]Уменьшить объем обнаружения[/td][td]Отправляет данные небольшими пакетами или пакетами[/td] [td][/td]
[td]Регулирование скорости вытеснения[/td][td]Позволяет избежать обнаружения аномалий пропускной способности[/td][td]Смешивается с обычным сетевым шумом; работает в нерабочее время[/td] [td]Злоупотребление облачными технологиями и приложениями[/td][td]Кража токена OAuth (Microsoft 365, Google Workspace)[/td][td]Постоянный доступ к сеансу в облаке — обход конечной точки[/td][td]Избегает локального проживания; обходит MFA и подключается к облаку удаленно[/td] [td][/td]
[td]Легальные облачные сервисы (Dropbox, OneDrive)[/td][td]Использовать как хранилище или ретранслятор для украденных файлов[/td][td]Трудно заблокировать; использует авторизованные сервисы для размещения или выгрузки файлов[/td] [td][/td]
[td]Скомпрометированный Outlook Web Access (OWA)[/td][td]Доступ к почтовым ящикам и вложениям[/td][td]Использует легальный портал входа в веб-почту, часто без активации оповещений[/td] [td]Кража учетных данных/информации[/td][td]Похититель CredoMap[/td][td]Похищает токены сеанса браузера, пароли и облачные файлы cookie[/td][td]Отправляет украденные данные в предварительно зашифрованном виде через HTTPS или DNS-туннелирование.[/td] [td][/td]
[td]Клавиатурные шпионы, похитители буфера обмена, модули захвата экрана[/td][td]Собирайте конфиденциальные данные и визуальные материалы[/td][td]Версии без файлов используются для скрытности; избегают интенсивного ввода-вывода[/td] [td]Методы без файлов/скрытые методы[/td][td]Внедрение DLL и загрузчики в памяти[/td][td]Запускайте модули exfil, не оставляя следов файлов[/td][td]Безфайловая казнь ограничивает возможности судебной экспертизы[/td] [td][/td]
[td]Злоупотребление PowerShell, WMI, certutil (LOLBins)[/td][td]Запуск полезных нагрузок нерегулярно[/td][td]Выполняется с помощью легальных инструментов Windows — обходит обнаружение на основе сигнатур.[/td] [td]Стратегии, основанные на времени[/td][td]Передача данных в нерабочее время (ночи, выходные)[/td][td]Избегайте обнаружения человеком/оповещений[/td][td]Соответствует периодам низкого трафика – уменьшает аномалии всплесков активности[/td] [td][/td]
[td]Задержанный или маячковый C2[/td][td]Сохраняйте незаметность в перерывах между активностями[/td][td]Реагирует только после опроса или срабатывания триггеров[/td] [td]Очистка и антикриминалистика[/td][td]Удаляет журналы, временные файлы, следы вредоносных программ после удаления.[/td][td]Устранить вещественные доказательства[/td][td]Скрипт гарантирует удаление после успешного выполнения или при отказе[/td] [td][/td]
[td]Полиморфные упаковщики/слои шифрования[/td][td]Обход статического обнаружения и сканирования сигнатур[/td][td]Каждая инфекция имеет уникальную конфигурацию (полезные нагрузки, привязанные к машине)[/td]
Чтобы узнать больше о тактиках, методах и процедурах APT, рассмотрите возможность стать подписчиком Pro — нашей премиальной трехлетней программой, которая предлагает неограниченный доступ к экспертным ресурсам, инструментам и эксклюзивному контенту для поддержки вашего непрерывного роста в сфере кибербезопасности.
Понимание современных постоянных угроз (APT) крайне важно для всех, кто работает в сфере кибербезопасности, поскольку они представляют собой одни из самых сложных и скрытых атак в цифровом мире .
Среди этих угроз APT28 , также известная как Fancy Bear , Sednit или Sofacy , выделяется как одна из самых опытных и стойких хакерских группировок в мире. Независимо от того, защищаетесь ли вы от реальных атак или тестируете свои системы на симуляциях Red Team, понимание принципов работы APT28 имеет решающее значение.
В этой статье вы узнаете о методах, целях и приемах APT28, которые они используют для проникновения в сети, сохранения доступа, повышения привилегий, горизонтального перемещения и кражи данных.
Кто такой APT28?
APT28 — известная российская группа кибершпионажа, связанная с ГРУ. Действуя как минимум с 2004 года, эта группа занимается сбором разведывательной информации и проведением киберопераций, отвечающих стратегическим интересам российского правительства. За проведение этих операций отвечает её специальное военное подразделение, подразделение ГРУ 26165. Fancy Bear классифицируется как продвинутая постоянная угроза (APT), что означает, что она использует сложные методы проникновения в свои цели. Для получения несанкционированного доступа к конфиденциальной информации она использует комплекс тактик, включая эксплойты нулевого дня, фишинг и вредоносное ПО.
Начиная как минимум с 2004 года APT28 нацелилась на правительственные, военные и силовые структуры, особенно в странах-членах НАТО и в Закавказском регионе.
Мотивации
Мотивы APT28 сложны, но в основном связаны с кибершпионажем . Их главная цель — сбор конфиденциальной информации, поддерживающей стратегические интересы России. Это включает в себя отслеживание военных событий, политической активности и общественного мнения в странах, на которые направлена атака.Помимо сбора разведывательной информации, APT28 также стремится создавать помехи и влиять на политические результаты . Их участие в президентских выборах в США в 2016 году продемонстрировало, как кибероперации могут быть использованы для подрыва демократических процессов и сеяния недоверия.
Хронология взлома APT28
Известная своими хитрыми и изощрёнными методами, группировка APT28 провела ряд громких киберопераций. Давайте подробнее рассмотрим некоторые из них.
Страны, на которые нацелена APT28 (Fancy Bear) – обновлено до 2022 года (Brandefense)
Первоначальные методы доступа, используемые APT28
Первоначальные методы доступа APT28 легли в основу их долгосрочных скрытных вторжений. Вот краткое описание их основных тактик:1. Целевой фишинг
Отличительная тактика APT28 — это высокоперсонализированный фишинг, разработанный на основе детальной разведки. Они используют данные OSINT, социальные сети, взломанные учетные данные и предыдущие случаи компрометации, чтобы составить портрет жертвы и адаптировать фишинговые письма к её ролям и интересам.- Вредоносные вложения : как правило, файлы Microsoft Office (Word, Excel, PowerPoint), содержащие уязвимости нулевого дня или известные уязвимости (например, CVE-2023-23397 , CVE-2021-40444 ). Эти документы используют макросы, элементы ActiveX или шаблоны для скрытого выполнения вредоносного кода.
Пример документа и части деобфусцированного кода макроса (предоставлено CERT-UA)
- Встроенные макросы и скрипты : при выполнении эти скрипты доставляют полезную нагрузку, такую как Sofacy , X-Agent или другое вредоносное ПО.
- Вредоносные ссылки : в некоторых электронных письмах вместо вложений используются ссылки, перенаправляющие пользователей на поддельные порталы единого входа (SSO) или веб-почты. Они либо собирают учётные данные, либо используют уязвимости браузера для внедрения вредоносного ПО.
2. Сбор учетных данных
Группа APT28 использовала украденные действительные учетные данные для первоначального доступа к европейским политическим структурам, что позволило ей эффективно получать доступ к сетям. Используя учетные данные, полученные в результате фишинговых атак и из даркнета, они тайно атаковали различные правительственные учреждения и политические организации.3. Эксплойты нулевого дня
Группа APT28 продемонстрировала высокую способность использовать уязвимости нулевого дня для максимальной эффективности кибератак. Например:CVE-2015-3043:
APT28 эксплуатировала эту уязвимость Adobe Flash Player, которая приводит к переполнению буфера и позволяет удалённому выполнению кода. Когда жертвы посещают вредоносный веб-сайт, эксплойт Flash запускает шелл-код, который загружает и устанавливает дополнительное вредоносное ПО.
CVE-2015-1701:
Получив первоначальный доступ с помощью эксплойта Flash, APT28 использует эту неисправленную уязвимость локального повышения привилегий в ядре Windows. Она позволяет им повысить привилегии до уровня системы, предоставляя полный контроль над скомпрометированным устройством.
4. Эксплуатация публичных приложений
Хотя фишинговые атаки являются доминирующей формой атак, APT28 при необходимости использует внешние сервисы:- Инфраструктура VPN и веб-почты: они использовали уязвимости и неправильные конфигурации в популярных приложениях веб-почты (например, Roundcube, MDaemon) и устройствах VPN для получения первоначального доступа к системе.
- Эксплойты маршрутизаторов и сетевых устройств: слабые строки сообщества SNMP, учетные данные по умолчанию или неисправленные уязвимости в периметральных устройствах использовались для проникновения внутрь сетей.
Методы настойчивости APT28
Методы стойкости APT28 объясняют, почему их так сложно вытеснить из сети после проникновения. Их цель — сохранять долгосрочные, скрытые позиции , выдерживающие перезагрузки, антивирусные очистки и меры реагирования на инциденты, при этом избегая обнаружения.Основу устойчивости APT28 составляют их специализированные семейства вредоносных программ, в частности Sofacy (Sednit), X-Agent и более новые наборы инструментов BEARDSHELL и COVENANT.
- Модули дроппера и загрузчика: эти начальные компоненты устанавливают полную вредоносную нагрузку и используют расширенную обфускацию, чтобы избежать обнаружения антивирусами. Обычно они записываются в известные каталоги автозапуска, обеспечивая запуск при запуске системы.
Пример механизма сохранения для бэкдор-загрузчика BEARDSHELL
(предоставлен CERT-UA)
- Изменения реестра: Вредоносные программы APT28 часто изменяют ключи автозапуска реестра Windows (например,
HKCU\Software\Microsoft\Windows\CurrentVersion\Run) для автоматического запуска полезных DLL-библиотек или скриптов при входе пользователя в систему или запуске проводника. - Запланированные задачи: они создают запланированные задачи, которые регулярно выполняют вредоносные нагрузки, обеспечивая устойчивость даже в случае удаления некоторых компонентов.
- Методы руткитов и буткитов: В частности, APT28 использовала руткиты UEFI, такие как LoJax — прошивку на уровне прошивки, обеспечивающую сохранение вредоносного ПО даже после переустановки ОС или очистки диска. Это один из немногих публично раскрытых случаев использования прошивок руткитов в кибершпионаже, демонстрирующий их изощренность.
- Бинарные файлы Living-off-the-Land (LOLBins): Чтобы свести к минимуму обнаружение, APT28 использует легитимные инструменты Windows (PowerShell, WMI, rundll32.exe) для выполнения действий по сохранению и выполнения кода, сливаясь с обычным поведением системы.
Методы повышения привилегий APT28
После проникновения APT-атак в сеть следующим логичным шагом становится повышение привилегий для получения более глубокого контроля над системой. APT28, как и многие другие сложные киберпреступники, часто использует неверные настройки системы для повышения привилегий.Слабые разрешения на обслуживание
Слабые разрешения на доступ к сервису представляют собой критически важную ошибку конфигурации, которой часто пользуется APT28. Если сервис настроен с чрезмерно либеральным контролем доступа, злоумышленники могут изменить его настройки, указав на свои вредоносные исполняемые файлы. Это позволяет им контролировать поведение сервиса, например, его запуск и остановку, и обеспечивает запуск их вредоносного ПО с повышенными привилегиями.Подобные уязвимости обычно возникают, когда службы не защищены должным образом или когда разрешения по умолчанию не изменяются во время развертывания. Без строгого контроля доступа злоумышленники могут использовать эти уязвимости для обеспечения устойчивости и сохранения контроля над скомпрометированной системой.
Неуказанные пути обслуживания
Пути к службам без кавычек — распространённая ошибка конфигурации, которую APT28 может использовать для получения повышенных привилегий. Если служба Windows настроена с путём без кавычек, содержащим пробелы, система может неправильно интерпретировать этот путь и выполнить первый найденный соответствующий исполняемый файл.Злоумышленники могут воспользоваться этим, разместив вредоносный исполняемый файл в каталоге по уязвимому пути. В случае успеха их код будет выполнен с теми же привилегиями, что и служба, — часто на уровне SYSTEM , что даст им полный контроль над скомпрометированной машиной.
Повышение привилегий на основе учетных данных
APT28 часто достигает повышения привилегий , краду и злоупотребляя учётными данными в скомпрометированных средах. Их методы включают:- Инструменты для извлечения учетных данных : такие инструменты, как Mimikatz и пользовательские варианты, используются для извлечения текстовых паролей, хэшей и токенов аутентификации из памяти и локального хранилища.
- Атаки с передачей хэша/билета : используя украденные хеши NTLM или билеты Kerberos, APT28 может выдавать себя за привилегированных пользователей и осуществлять горизонтальное проникновение без необходимости знать настоящие текстовые пароли.
- Распыление паролей и подбор паролей : APT28 использует слабые или повторно используемые учетные данные в сети с помощью попыток подбора паролей и подбора паролей, часто нацеливаясь на учетные записи администраторов.
- Манипуляция токенами Kerberos : в некоторых случаях APT28 использовала командлеты PowerShell для назначения ролей, таких как ApplicationImpersonation , скомпрометированным учетным записям (особенно в средах Exchange ), чтобы повысить привилегии и сохранить доступ.
Методы бокового движения APT28
Получив повышенные привилегии в целевой системе, злоумышленники часто стремятся к горизонтальному распространению, расширяя свой доступ к другим системам в сети. Для перемещения между машинами APT28 использует легитимные инструменты и протоколы администрирования Windows, включая протокол удалённого рабочего стола (RDP), PsExec, инструментарий управления Windows (WMI) и удалённое взаимодействие с PowerShell. Такой подход, основанный на принципе «выживать за счёт земли», позволяет им выполнять код и передавать полезную нагрузку без развертывания новых двоичных файлов, сокращая своё криминалистическое воздействие и обходя многие методы обнаружения. Они также используют административные сетевые ресурсы (например, C$ и ADMIN$) для горизонтального распространения путём копирования вредоносного ПО или создания запланированных задач для постоянного выполнения.Группа использует некорректные конфигурации сети и уязвимости в удалённых сервисах для проникновения на другие устройства, включая маршрутизаторы, VPN-устройства и сети сторонних или партнёрских компаний, — стратегия «перемещения по островам», которая косвенно расширяет их влияние. В изолированных или сегментированных средах они используют заражённые USB-накопители, запрограммированные на распространение вредоносного ПО при подключении, что позволяет им проникать в изолированные системы.
APT28 также использует передовые методы обфускации для своих латеральных опор: скомпрометированные машины служат прокси-узлами для маршрутизации трафика, а зашифрованные пользовательские туннели, такие как X-Tunnel, защищают их коммуникации даже в сегментированных сетях. Они активно поддерживают избыточную устойчивость, развертывая множество бэкдоров и механизмов повторного заражения для восстановления доступа в случае обнаружения и удаления.
Методы сбора и эксфильтрации данных APT28
APT28 известна тщательным поиском данных во взломанных системах для сбора ценных данных, таких как электронные письма, документы, учётные данные и конфигурации сетей. Они часто атакуют файловые ресурсы, базы данных и сообщения в поисках критически важных данных. После сбора данных APT28 сосредотачивается на сокрытии процесса эксфильтрации, используя легитимные сервисы и зашифрованные каналы для избежания обнаружения. Методы сбора и эксфильтрации данных APT28 направлены на получение ценной информации, которая может быть использована для достижения долгосрочных шпионских целей.APT28 использует несколько передовых инструментов для сбора и извлечения конфиденциальных данных из атакуемых систем, уделяя особое внимание скрытности и эффективности. Ниже представлено описание некоторых из их ключевых инструментов и способов их использования:
[td]Цепочка прокси-серверов через зараженные промежуточные хосты[/td][td]Скрыть источник сообщения[/td][td]Добавляет переходы для задержки трассировки; прокси-серверы могут динамически переключаться[/td] [td][/td]
[td]Фронтирование домена с использованием облачных сервисов CDN (AWS, Azure, GCP)[/td][td]Скрывает C2 внутри легитимного облачного трафика[/td][td]Совместимость с распространенными облачными доменами; обход доменных брандмауэров[/td] [td]Модульное вредоносное ПО[/td][td]X-Agent / CHOPSTICK[/td][td]Фиксирует нажатия клавиш, снимки экрана, файловые системы[/td][td]Использует модульную архитектуру; выполняется в памяти посредством внедрения процесса[/td] [td][/td]
[td]Загрузчик Sofacy[/td][td]Размещает динамические полезные нагрузки и собирает локальные данные[/td][td]Часто обновляются, упаковываются или шифруются, чтобы избежать статического обнаружения[/td] [td]Упаковка и размещение данных[/td][td]Локальное размещение (zip/сжатие)[/td][td]Организуйте и сократите площадь, занимаемую землей, перед экстракцией[/td][td]Сжимает во временных папках, часто имитируя работу законных архивов[/td] [td][/td]
[td]Порционная передача[/td][td]Уменьшить объем обнаружения[/td][td]Отправляет данные небольшими пакетами или пакетами[/td] [td][/td]
[td]Регулирование скорости вытеснения[/td][td]Позволяет избежать обнаружения аномалий пропускной способности[/td][td]Смешивается с обычным сетевым шумом; работает в нерабочее время[/td] [td]Злоупотребление облачными технологиями и приложениями[/td][td]Кража токена OAuth (Microsoft 365, Google Workspace)[/td][td]Постоянный доступ к сеансу в облаке — обход конечной точки[/td][td]Избегает локального проживания; обходит MFA и подключается к облаку удаленно[/td] [td][/td]
[td]Легальные облачные сервисы (Dropbox, OneDrive)[/td][td]Использовать как хранилище или ретранслятор для украденных файлов[/td][td]Трудно заблокировать; использует авторизованные сервисы для размещения или выгрузки файлов[/td] [td][/td]
[td]Скомпрометированный Outlook Web Access (OWA)[/td][td]Доступ к почтовым ящикам и вложениям[/td][td]Использует легальный портал входа в веб-почту, часто без активации оповещений[/td] [td]Кража учетных данных/информации[/td][td]Похититель CredoMap[/td][td]Похищает токены сеанса браузера, пароли и облачные файлы cookie[/td][td]Отправляет украденные данные в предварительно зашифрованном виде через HTTPS или DNS-туннелирование.[/td] [td][/td]
[td]Клавиатурные шпионы, похитители буфера обмена, модули захвата экрана[/td][td]Собирайте конфиденциальные данные и визуальные материалы[/td][td]Версии без файлов используются для скрытности; избегают интенсивного ввода-вывода[/td] [td]Методы без файлов/скрытые методы[/td][td]Внедрение DLL и загрузчики в памяти[/td][td]Запускайте модули exfil, не оставляя следов файлов[/td][td]Безфайловая казнь ограничивает возможности судебной экспертизы[/td] [td][/td]
[td]Злоупотребление PowerShell, WMI, certutil (LOLBins)[/td][td]Запуск полезных нагрузок нерегулярно[/td][td]Выполняется с помощью легальных инструментов Windows — обходит обнаружение на основе сигнатур.[/td] [td]Стратегии, основанные на времени[/td][td]Передача данных в нерабочее время (ночи, выходные)[/td][td]Избегайте обнаружения человеком/оповещений[/td][td]Соответствует периодам низкого трафика – уменьшает аномалии всплесков активности[/td] [td][/td]
[td]Задержанный или маячковый C2[/td][td]Сохраняйте незаметность в перерывах между активностями[/td][td]Реагирует только после опроса или срабатывания триггеров[/td] [td]Очистка и антикриминалистика[/td][td]Удаляет журналы, временные файлы, следы вредоносных программ после удаления.[/td][td]Устранить вещественные доказательства[/td][td]Скрипт гарантирует удаление после успешного выполнения или при отказе[/td] [td][/td]
[td]Полиморфные упаковщики/слои шифрования[/td][td]Обход статического обнаружения и сканирования сигнатур[/td][td]Каждая инфекция имеет уникальную конфигурацию (полезные нагрузки, привязанные к машине)[/td]
Краткое содержание
Эта группа является хрестоматийным примером современной APT — терпеливой, скрытной и адаптивной, тесно связанной с целями национального государства, что делает ее одной из самых опасных угроз современности.Чтобы узнать больше о тактиках, методах и процедурах APT, рассмотрите возможность стать подписчиком Pro — нашей премиальной трехлетней программой, которая предлагает неограниченный доступ к экспертным ресурсам, инструментам и эксклюзивному контенту для поддержки вашего непрерывного роста в сфере кибербезопасности.
