APT29
APT29には過去数年間、多くの別名があった:IRON RITUAL、IRON HEMLOCK、NobleBaron、Dark Halo、StellarParticle、NOBELIUM、UNC2452、YTTRIUM、The Dukes、Cozy Bear、CozyDuke、SolarStorm、Blue Kitsune、UNC3524、Cloaked Ursa、そして最近ではMidnight Blizzard。しかし、彼らは何者で、どのように活動しているのだろうか?あなたの会社を彼らから守るために、この謎を解き明かしましょう。
APT29の起源
APT29はロシア政府の対外情報庁(SVR)に所属しているとみられ、国家が支援するサイバー活動であることを示している。
このグループは、技術的な規律、洗練性、ITセキュリティの防御戦術への適応能力で知られている。
APT29は2008年から活動しており、国防総省のネットワーク侵入、民主党全国委員会のサーバーへの侵入、一般公開されているIPアドレスの脆弱性スキャンなど、重要な活動を行っている。
APT29は、2021年のソーラーウィンズのコンプロマイズと2024年1月のマイクロソフトへの攻撃に関与していると考えられている。
イメージレイモン・アンドレ・ハーゲン
攻撃方法
APT29の攻撃手法
APT29は、公衆向けアプリケーションの脆弱性を悪用し、悪意のあるリンクや添付ファイルを使ってスピアフィッシングを行い、標的のネットワークに侵入します。
また、ITプロバイダーやマネージド・サービス・プロバイダーは、信頼関係を活用し、より広範なアクセスに妥協している。
このグループは、ユーザーアカウント制御(UAC)を回避し、ソフトウェアの脆弱性を悪用して特権を昇格させるテクニックを採用している。
これにより、彼らはより高いレベルのアクセス権でコードを実行することができる。
APT29は、検知されないようにセキュリティツールやファイアウォールの設定を無効にしたり変更したりすることに長けている。
ソフトウェア・パッキングや、悪意のあるファイルを正当な名前で偽装するなどの難読化テクニックを使い、その存在と活動を隠します。
このグループは、ブルートフォース攻撃、ブラウザからの認証情報の盗み出し、パスワードのダンピングなど、さまざまな方法でアカウントや認証情報にアクセスし、操作している。
クラウド、電子メールアカウントを操作し、リソースへのアクセスとコントロールを維持する。
APT29は、ネットワーク構成、ドメインアカウント、内部リソースに関する情報を収集するために、ツールやスクリプトを使用した広範な発見作業を実施する。
これには、リモートシステム、ドメイングループ、権限グループを 列挙し、貴重なターゲットを特定することも含まれる。
侵害された認証情報を使用し、アカウントのアクセス許可を操作することで、APT29はネットワーク上を移動し、制限された領域にアクセスします。
リモートサービス、プロキシ技術、管理アカウントを活用し、危険な環境をシームレスにナビゲートする。
このグループは、機密情報リポジトリ、電子メールアカウント、ローカルシステムのデータを抽出するために標的としている。
彼らは、貴重な情報や専有情報に焦点を当て、流出のためにデータを段階化し、圧縮し、保護する方法を採用している。
APT29は、さまざまなスクリプトインタプリタやコマンドラインユーティリティを使用して、侵害されたネットワーク上でコマンドやペイロードを実行します。
リモートサービスやスケジュールされたタスクを利用して、malware を展開し、ネットワーク内での制御を強化する。
データは暗号化されたチャネルを経由して流出し、盗まれたデータをネットワークから安全に転送する方法を使用する。
APT29は、データをパスワードで保護されたアーカイブに保管し、データ転送にはウェブプロトコルを使用するなど、ステルス性と安全性を重視している。
このグループの活動は、重大なデータの盗難、スパイ活動、重要なシステムの潜在的な混乱につながる可能性がある。
ドメインの信頼設定を変更し、データを操作または暗号化する malware を 展開することで、APT29 はシステムの完全性と可用性を損ない、国家安全保障と組織運営に深刻なリスクをもたらす。
初期アクセス
APT29は、公衆向けアプリケーションの脆弱性を悪用し、悪意のあるリンクや添付ファイルを使ってスピアフィッシングを行い、標的のネットワークに侵入します。
また、ITプロバイダーやマネージド・サービス・プロバイダーは、信頼関係を活用し、より広範なアクセスに妥協している。
特権エスカレーション
このグループは、ユーザーアカウント制御(UAC)を回避し、ソフトウェアの脆弱性を悪用して特権を昇格させるテクニックを採用している。
これにより、彼らはより高いレベルのアクセス権でコードを実行することができる。
防御回避
APT29は、検知されないようにセキュリティツールやファイアウォールの設定を無効にしたり変更したりすることに長けている。
ソフトウェア・パッキングや、悪意のあるファイルを正当な名前で偽装するなどの難読化テクニックを使い、その存在と活動を隠します。
クレデンシャル・アクセス
このグループは、ブルートフォース攻撃、ブラウザからの認証情報の盗み出し、パスワードのダンピングなど、さまざまな方法でアカウントや認証情報にアクセスし、操作している。
クラウド、電子メールアカウントを操作し、リソースへのアクセスとコントロールを維持する。
ディスカバリー
APT29は、ネットワーク構成、ドメインアカウント、内部リソースに関する情報を収集するために、ツールやスクリプトを使用した広範な発見作業を実施する。
これには、リモートシステム、ドメイングループ、権限グループを 列挙し、貴重なターゲットを特定することも含まれる。
横の動き
侵害された認証情報を使用し、アカウントのアクセス許可を操作することで、APT29はネットワーク上を移動し、制限された領域にアクセスします。
リモートサービス、プロキシ技術、管理アカウントを活用し、危険な環境をシームレスにナビゲートする。
コレクション
このグループは、機密情報リポジトリ、電子メールアカウント、ローカルシステムのデータを抽出するために標的としている。
彼らは、貴重な情報や専有情報に焦点を当て、流出のためにデータを段階化し、圧縮し、保護する方法を採用している。
実行
APT29は、さまざまなスクリプトインタプリタやコマンドラインユーティリティを使用して、侵害されたネットワーク上でコマンドやペイロードを実行します。
リモートサービスやスケジュールされたタスクを利用して、malware を展開し、ネットワーク内での制御を強化する。
データ流出
データは暗号化されたチャネルを経由して流出し、盗まれたデータをネットワークから安全に転送する方法を使用する。
APT29は、データをパスワードで保護されたアーカイブに保管し、データ転送にはウェブプロトコルを使用するなど、ステルス性と安全性を重視している。
インパクト
このグループの活動は、重大なデータの盗難、スパイ活動、重要なシステムの潜在的な混乱につながる可能性がある。
ドメインの信頼設定を変更し、データを操作または暗号化する malware を 展開することで、APT29 はシステムの完全性と可用性を損ない、国家安全保障と組織運営に深刻なリスクをもたらす。
MITRE ATT&CK マッピング
APT29が使用したTTP
TA0001: Initial Access
T1195
Supply Chain Compromise
T1566
Phishing
T1190
Exploit Public-Facing Application
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
T1651
Cloud Administration Command
T1204
User Execution
T1203
Exploitation for Client Execution
T1059
Command and Scripting Interpreter
T1047
Windows Management Instrumentation
TA0003: Persistence
T1505
Server Software Component
T1547
Boot or Logon Autostart Execution
T1546
Event Triggered Execution
T1556
Modify Authentication Process
T1136
Create Account
T1098
Account Manipulation
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1548
Abuse Elevation Control Mechanism
T1068
Exploitation for Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1546
Event Triggered Execution
T1484
Group Policy Modification
T1078
Valid Accounts
T1053
Scheduled Task/Job
T1037
Boot or Logon Initialization Scripts
TA0005: Defense Evasion
T1553
Subvert Trust Controls
T1218
System Binary Proxy Execution
T1140
Deobfuscate/Decode Files or Information
T1548
Abuse Elevation Control Mechanism
T1036
Masquerading
T1027
Obfuscated Files or Information
T1070
Indicator Removal
T1562
Impair Defenses
T1550
Use Alternate Authentication Material
T1556
Modify Authentication Process
T1484
Group Policy Modification
T1078
Valid Accounts
TA0006: Credential Access
T1649
Steal or Forge Authentication Certificates
T1621
Multi-Factor Authentication Request Generation
T1606
Forge Web Credentials
T1558
Steal or Forge Kerberos Tickets
T1539
Steal Web Session Cookie
T1556
Modify Authentication Process
T1555
Credentials from Password Stores
T1552
Unsecured Credentials
T1110
Brute Force
T1003
OS Credential Dumping
TA0007: Discovery
T1482
Domain Trust Discovery
T1087
Account Discovery
T1083
File and Directory Discovery
T1082
System Information Discovery
T1069
Permission Groups Discovery
T1057
Process Discovery
T1016
System Network Configuration Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
T1550
Use Alternate Authentication Material
T1021
Remote Services
TA0009: Collection
T1560
Archive Collected Data
T1213
Data from Information Repositories
T1114
Email Collection
T1074
Data Staged
T1005
Data from Local System
TA0011: Command and Control
T1102
Web Service
T1573
Encrypted Channel
T1568
Dynamic Resolution
T1105
Ingress Tool Transfer
T1090
Proxy
T1071
Application Layer Protocol
T1001
Data Obfuscation
TA0010: Exfiltration
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
No items found.
よくあるご質問(FAQ)
組織はAPT29の活動をどのように検知 。
APT29を検知するには、侵害の微妙な兆候を特定できる高度な脅威検知ソリューションが必要です。Vectra AI のようなAI主導 脅威検知プラットフォームは、APT29 のオペレーションに特徴的な隠れたパターンや悪意のある行動を発見するのに役立ちます。
APT29の危険に最もさらされているのはどのような業界か?
APT29は広範な業界を標的としており、特に政府、外交、シンクタンク、ヘルスケア、エネルギー部門に重点を置いている。これらのセクターの組織は特に警戒する必要がある。
APT29はどのようにしてネットワークへの初期アクセスを獲得するのか?
APT29は通常、悪意のある添付ファイルやリンクを使用したスピアフィッシングを行い、公開アプリケーションの脆弱性を悪用し、漏洩した認証情報を活用して標的ネットワークへの初期アクセスを獲得します。
APT29 の侵入に対するレスポンス 計画には何が含まれるべきか?
レスポンス 計画には、影響を受けたシステムの即時隔離、侵害の範囲を特定するための徹底的な調査、cybercriminels' ツールおよびアクセスの根絶、セキュリティ態勢を強化し、将来の侵害を防止するための包括的なレビューが含まれるべきである。
APT29は侵害されたネットワーク内でどのように持続性を維持しているのか?
APT29 は、レジストリキーを追加して自動起動させたり、正規のスクリプトを乗っ取ったり、侵害したサーバ上にウェブシェルを作成したりして、永続性を維持する手法を使用しています。
APT29に関連する特定のツールやmalware 。
APT29は、Pythonで書かれたSUNBURST、TEARDROP、malware (これらに限定されない)を含む、さまざまなカスタムツールやmalware (これらに限定されない)を使用していることが知られている。また、Mimikatzのようなツールも認証情報の窃取に使用しています。
APT29から身を守る最善の戦略とは?
APT29からの保護には、脆弱性の定期的なパッチ適用、強固なエンドポイント保護、フィッシングに関する従業員トレーニング、高度な脅威検知ツールおよびレスポンス ツールの導入など、多層的なセキュリティ戦略が必要です。
APT29の活動は特定のサイバーキャンペーンに起因するものなのか?
そう、APT29は、SolarWinds Orionソフトウェアのサプライチェーン侵害を含む、いくつかの有名なサイバースパイキャンペーンに関連している。彼らは一貫して、ロシア政府の戦略的利益に合致する事業体を標的としてきました。
APT29はどのようにして検知を回避しているのか、またこれらのテクニックに対抗するために何ができるのか。
APT29は、セキュリティツールの無効化、難読化(malware )、暗号化された通信チャネルの利用など、さまざまな防御回避テクニックを使用している。対策としては、検知 、微妙で複雑な脅威行動に対応できる脅威検知プラットフォーム(AI主導 )の採用、ネットワーク全体の可視性の強化、異常行動の継続的な監視などがある。
APT29の侵害がもたらす影響とは?
APT29 の侵害は、重大な情報やデータの損失、スパイ活動、重要なインフラの潜在的な混乱につながる可能性があります。APT29 の影響を受けた組織は、風評被害、経済的損失、国家安全保障上の機密情報の漏洩の可能性に直面します。