APT29

APT29には過去数年間、多くの別名があった:IRON RITUAL、IRON HEMLOCK、NobleBaron、Dark Halo、StellarParticle、NOBELIUM、UNC2452、YTTRIUM、The Dukes、Cozy Bear、CozyDuke、SolarStorm、Blue Kitsune、UNC3524、Cloaked Ursa、そして最近ではMidnight Blizzard。しかし、彼らは何者で、どのように活動しているのだろうか?あなたの会社を彼らから守るために、この謎を解き明かしましょう。

貴社はAPT29攻撃から安全ですか?

APT29の起源

APT29はロシア政府の対外情報庁(SVR)に所属しているとみられ、国家が支援するサイバー活動であることを示している。

このグループは、技術的な規律、洗練性、ITセキュリティの防御戦術への適応能力で知られている。

APT29は2008年から活動しており、国防総省のネットワーク侵入、民主党全国委員会のサーバーへの侵入、一般公開されているIPアドレスの脆弱性スキャンなど、重要な活動を行っている。

APT29は、2021年のソーラーウィンズのコンプロマイズと2024年1月のMicrosoftへの攻撃に関与していると考えられている。

イメージレイモン・アンドレ・ハーゲン

ターゲット

APT29の標的

APT29の標的国

APT29は、欧州とNATO加盟国の政府ネットワークを標的としており、企業やシンクタンクに対するサイバースパイ活動を行っている。

ソースマサチューセッツ工科大学 SOCradar

APT29の標的産業

APT29の主な標的は、政府政治組織調査会社エネルギーなどの 重要産業などである、 ヘルスケア教育 金融テクノロジーなどである。

APT29の標的産業

APT29の主な標的は、政府政治組織調査会社エネルギーなどの 重要産業などである、 ヘルスケア教育 金融テクノロジーなどである。

攻撃方法

APT29の攻撃手法

コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。

APT29は、公衆向けアプリケーションの脆弱性を悪用し、悪意のあるリンクや添付ファイルを使ってスピアフィッシングを行い、標的のネットワークに侵入します。

また、ITプロバイダーやマネージド・サービス・プロバイダーは、信頼関係を活用し、より広範なアクセスに妥協している。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。

このグループは、ユーザーアカウント制御(UAC)を回避し、ソフトウェアの脆弱性を悪用して特権を昇格させるテクニックを採用している。

これにより、彼らはより高いレベルのアクセス権でコードを実行することができる。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。

APT29は、検知されないようにセキュリティツールやファイアウォールの設定を無効にしたり変更したりすることに長けている。

ソフトウェア・パッキングや、悪意のあるファイルを正当な名前で偽装するなどの難読化テクニックを使い、その存在と活動を隠します。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。

このグループは、ブルートフォース攻撃、ブラウザからの認証情報の盗み出し、パスワードのダンピングなど、さまざまな方法でアカウントや認証情報にアクセスし、操作している。

クラウド、電子メールアカウントを操作し、リソースへのアクセスとコントロールを維持する。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。

APT29は、ネットワーク構成、ドメインアカウント、内部リソースに関する情報を収集するために、ツールやスクリプトを使用した広範な発見作業を実施する。

これには、リモートシステムドメイングループ、権限グループを 列挙し、貴重なターゲットを特定することも含まれる。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。

侵害された認証情報を使用し、アカウントのアクセス許可を操作することで、APT29はネットワーク上を移動し、制限された領域にアクセスします。

リモートサービス、プロキシ技術、管理アカウントを活用し、危険な環境をシームレスにナビゲートする。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。

このグループは、機密情報リポジトリ、電子メールアカウント、ローカルシステムのデータを抽出するために標的としている。

彼らは、貴重な情報や専有情報に焦点を当て、流出のためにデータを段階化し、圧縮し、保護する方法を採用している。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。

APT29は、さまざまなスクリプトインタプリタやコマンドラインユーティリティを使用して、侵害されたネットワーク上でコマンドやペイロードを実行します。

リモートサービスやスケジュールされたタスクを利用して、malware を展開し、ネットワーク内での制御を強化する。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。

データは暗号化されたチャネルを経由して流出し、盗まれたデータをネットワークから安全に転送する方法を使用する。

APT29は、データをパスワードで保護されたアーカイブに保管し、データ転送にはウェブプロトコルを使用するなど、ステルス性と安全性を重視している。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。

このグループの活動は、重大なデータの盗難、スパイ活動、重要なシステムの潜在的な混乱につながる可能性がある。

ドメインの信頼設定を変更し、データを操作または暗号化する malware を 展開することで、APT29 はシステムの完全性と可用性を損ない、国家安全保障と組織運営に深刻なリスクをもたらす。

コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。
初期アクセス

APT29は、公衆向けアプリケーションの脆弱性を悪用し、悪意のあるリンクや添付ファイルを使ってスピアフィッシングを行い、標的のネットワークに侵入します。

また、ITプロバイダーやマネージド・サービス・プロバイダーは、信頼関係を活用し、より広範なアクセスに妥協している。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。
特権エスカレーション

このグループは、ユーザーアカウント制御(UAC)を回避し、ソフトウェアの脆弱性を悪用して特権を昇格させるテクニックを採用している。

これにより、彼らはより高いレベルのアクセス権でコードを実行することができる。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。
防御回避

APT29は、検知されないようにセキュリティツールやファイアウォールの設定を無効にしたり変更したりすることに長けている。

ソフトウェア・パッキングや、悪意のあるファイルを正当な名前で偽装するなどの難読化テクニックを使い、その存在と活動を隠します。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。
クレデンシャル・アクセス

このグループは、ブルートフォース攻撃、ブラウザからの認証情報の盗み出し、パスワードのダンピングなど、さまざまな方法でアカウントや認証情報にアクセスし、操作している。

クラウド、電子メールアカウントを操作し、リソースへのアクセスとコントロールを維持する。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。
ディスカバリー

APT29は、ネットワーク構成、ドメインアカウント、内部リソースに関する情報を収集するために、ツールやスクリプトを使用した広範な発見作業を実施する。

これには、リモートシステムドメイングループ、権限グループを 列挙し、貴重なターゲットを特定することも含まれる。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。
横の動き

侵害された認証情報を使用し、アカウントのアクセス許可を操作することで、APT29はネットワーク上を移動し、制限された領域にアクセスします。

リモートサービス、プロキシ技術、管理アカウントを活用し、危険な環境をシームレスにナビゲートする。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。
コレクション

このグループは、機密情報リポジトリ、電子メールアカウント、ローカルシステムのデータを抽出するために標的としている。

彼らは、貴重な情報や専有情報に焦点を当て、流出のためにデータを段階化し、圧縮し、保護する方法を採用している。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。
実行

APT29は、さまざまなスクリプトインタプリタやコマンドラインユーティリティを使用して、侵害されたネットワーク上でコマンドやペイロードを実行します。

リモートサービスやスケジュールされたタスクを利用して、malware を展開し、ネットワーク内での制御を強化する。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。
データ流出

データは暗号化されたチャネルを経由して流出し、盗まれたデータをネットワークから安全に転送する方法を使用する。

APT29は、データをパスワードで保護されたアーカイブに保管し、データ転送にはウェブプロトコルを使用するなど、ステルス性と安全性を重視している。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。
インパクト

このグループの活動は、重大なデータの盗難、スパイ活動、重要なシステムの潜在的な混乱につながる可能性がある。

ドメインの信頼設定を変更し、データを操作または暗号化する malware を 展開することで、APT29 はシステムの完全性と可用性を損ない、国家安全保障と組織運営に深刻なリスクをもたらす。

MITRE ATT&CK マッピング

APT29が使用したTTP

TA0001: Initial Access
T1195
Supply Chain Compromise
T1566
Phishing
T1190
Exploit Public-Facing Application
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
T1651
Cloud Administration Command
T1204
User Execution
T1203
Exploitation for Client Execution
T1059
Command and Scripting Interpreter
T1047
Windows Management Instrumentation
TA0003: Persistence
T1505
Server Software Component
T1547
Boot or Logon Autostart Execution
T1546
Event Triggered Execution
T1556
Modify Authentication Process
T1136
Create Account
T1098
Account Manipulation
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1548
Abuse Elevation Control Mechanism
T1068
Exploitation for Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1546
Event Triggered Execution
T1484
Group Policy Modification
T1078
Valid Accounts
T1053
Scheduled Task/Job
T1037
Boot or Logon Initialization Scripts
TA0005: Defense Evasion
T1553
Subvert Trust Controls
T1218
System Binary Proxy Execution
T1140
Deobfuscate/Decode Files or Information
T1548
Abuse Elevation Control Mechanism
T1036
Masquerading
T1027
Obfuscated Files or Information
T1070
Indicator Removal
T1562
Impair Defenses
T1550
Use Alternate Authentication Material
T1556
Modify Authentication Process
T1484
Group Policy Modification
T1078
Valid Accounts
TA0006: Credential Access
T1649
Steal or Forge Authentication Certificates
T1621
Multi-Factor Authentication Request Generation
T1606
Forge Web Credentials
T1558
Steal or Forge Kerberos Tickets
T1539
Steal Web Session Cookie
T1556
Modify Authentication Process
T1555
Credentials from Password Stores
T1552
Unsecured Credentials
T1110
Brute Force
T1003
OS Credential Dumping
TA0007: Discovery
T1482
Domain Trust Discovery
T1087
Account Discovery
T1083
File and Directory Discovery
T1082
System Information Discovery
T1069
Permission Groups Discovery
T1057
Process Discovery
T1016
System Network Configuration Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
T1550
Use Alternate Authentication Material
T1021
Remote Services
TA0009: Collection
T1560
Archive Collected Data
T1213
Data from Information Repositories
T1114
Email Collection
T1074
Data Staged
T1005
Data from Local System
TA0011: Command and Control
T1102
Web Service
T1573
Encrypted Channel
T1568
Dynamic Resolution
T1105
Ingress Tool Transfer
T1090
Proxy
T1071
Application Layer Protocol
T1001
Data Obfuscation
TA0010: Exfiltration
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
No items found.

よくあるご質問(FAQ)

組織はAPT29の活動をどのように検知 。

APT29を検知するには、侵害の微妙な兆候を特定できる高度な脅威検知ソリューションが必要です。Vectra AI のようなAI主導 脅威検知プラットフォームは、APT29 のオペレーションに特徴的な隠れたパターンや悪意のある行動を発見するのに役立ちます。

APT29の危険に最もさらされているのはどのような業界か?

APT29は広範な業界を標的としており、特に政府、外交、シンクタンク、ヘルスケア、エネルギー部門に重点を置いている。これらのセクターの組織は特に警戒する必要がある。

APT29はどのようにしてネットワークへの初期アクセスを獲得するのか?

APT29は通常、悪意のある添付ファイルやリンクを使用したスピアフィッシングを行い、公開アプリケーションの脆弱性を悪用し、漏洩した認証情報を活用して標的ネットワークへの初期アクセスを獲得します。

APT29 の侵入に対するレスポンス 計画には何が含まれるべきか?

レスポンス 計画には、影響を受けたシステムの即時隔離、侵害の範囲を特定するための徹底的な調査、cybercriminels' ツールおよびアクセスの根絶、セキュリティ態勢を強化し、将来の侵害を防止するための包括的なレビューが含まれるべきである。

APT29は侵害されたネットワーク内でどのように持続性を維持しているのか?

APT29 は、レジストリキーを追加して自動起動させたり、正規のスクリプトを乗っ取ったり、侵害したサーバ上にウェブシェルを作成したりして、永続性を維持する手法を使用しています。

APT29に関連する特定のツールやmalware 。

APT29は、Pythonで書かれたSUNBURST、TEARDROP、malware (これらに限定されない)を含む、さまざまなカスタムツールやmalware (これらに限定されない)を使用していることが知られている。また、Mimikatzのようなツールも認証情報の窃取に使用しています。

APT29から身を守る最善の戦略とは?

APT29からの保護には、脆弱性の定期的なパッチ適用、強固なエンドポイント保護、フィッシングに関する従業員トレーニング、高度な脅威検知ツールおよびレスポンス ツールの導入など、多層的なセキュリティ戦略が必要です。

APT29の活動は特定のサイバーキャンペーンに起因するものなのか?

そう、APT29は、SolarWinds Orionソフトウェアのサプライチェーン侵害を含む、いくつかの有名なサイバースパイキャンペーンに関連している。彼らは一貫して、ロシア政府の戦略的利益に合致する事業体を標的としてきました。

APT29はどのようにして検知を回避しているのか、またこれらのテクニックに対抗するために何ができるのか。

APT29は、セキュリティツールの無効化、難読化(malware )、暗号化された通信チャネルの利用など、さまざまな防御回避テクニックを使用している。対策としては、検知 、微妙で複雑な脅威行動に対応できる脅威検知プラットフォーム(AI主導 )の採用、ネットワーク全体の可視性の強化、異常行動の継続的な監視などがある。

APT29の侵害がもたらす影響とは?

APT29 の侵害は、重大な情報やデータの損失、スパイ活動、重要なインフラの潜在的な混乱につながる可能性があります。APT29 の影響を受けた組織は、風評被害、経済的損失、国家安全保障上の機密情報の漏洩の可能性に直面します。