APT29
APT29 a eu de nombreux pseudonymes au cours des dernières années : IRON RITUAL, IRON HEMLOCK, NobleBaron, Dark Halo, StellarParticle, NOBELIUM, UNC2452, YTTRIUM, The Dukes, Cozy Bear, CozyDuke, SolarStorm, Blue Kitsune, UNC3524, Cloaked Ursa et plus récemment Midnight Blizzard. Mais qui sont-ils et comment fonctionnent-ils ? Essayons d'y voir plus clair pour protéger au mieux votre entreprise.
Les origines d'APT29
APT29 serait affilié au Service de renseignement extérieur (SVR) du gouvernement russe, ce qui témoigne d'activités cybernétiques parrainées par l'État.
Le groupe est connu pour sa discipline technique, sa sophistication et sa capacité à s'adapter aux tactiques défensives de sécurité informatique.
APT29 est actif depuis 2008 et a notamment pénétré le réseau du Pentagone, compromis les serveurs du Comité national démocrate et analysé les vulnérabilités des adresses IP publiques.
APT29 serait responsable de la compromission de SolarWinds en 2021 et de l'attaque contre Microsoft en janvier 2024.
Image : Raymond Andrè Hagen
Pays ciblés par APT29
APT29 cible les réseaux gouvernementaux en Europe et dans les pays membres de l'OTAN, où il se livre à du cyberespionnage contre des entreprises et des groupes de réflexion.
Source : MITRE & SOCradar
Industries ciblées par APT29
Les cibles principales d'APT29 sont les gouvernements, les organisations politiques, les sociétés de recherche et les industries critiques telles que l'énergie, les soins de santél'éducation, la finance et la technologie.
Méthode d'attaque d'APT29
APT29 exploite les vulnérabilités des applications publiques et se livre à du spearphishing avec des liens ou des pièces jointes malveillants pour s'introduire dans les réseaux cibles.
Ils ont également compromis les fournisseurs de services informatiques et de services gérés en leur permettant d'exploiter des relations de confiance pour un accès plus large.
Le groupe utilise des techniques pour contourner le contrôle des comptes utilisateurs (UAC) et exploiter les vulnérabilités des logiciels pour obtenir des privilèges élevés.
Cela leur permet d'exécuter du code avec des niveaux d'accès plus élevés, ce qui est essentiel pour la profondeur et la furtivité de leurs opérations.
APT29 est capable de désactiver ou de modifier les outils de sécurité et les paramètres des pare-feux afin de ne pas être détecté.
Ils utilisent des techniques d'obscurcissement, notamment l'emballage de logiciels et l 'attribution de noms légitimes aux fichiers malveillants, pour dissimuler leur présence et leurs activités.
Le groupe utilise diverses méthodes pour accéder aux comptes et aux informations d'identification et les manipuler, notamment des attaques par force brute et le vol d'informations d'identification à partir de navigateurs ou par le biais de la vidange de mots de passe.
Ils manipulent cloud et les comptes de courrier électronique pour conserver l'accès et le contrôle des ressources.
APT29 mène des opérations de découverte approfondies à l'aide d'outils et de scripts afin de recueillir des informations sur les configurations de réseau, les comptes de domaine et les ressources internes.
Il s'agit notamment d'énumérer les systèmes distants, les groupes de domaines et les groupes d'autorisations afin d'identifier les cibles intéressantes.
En utilisant des informations d'identification compromises et en manipulant les autorisations des comptes, APT29 se déplace sur les réseaux et accède à des zones restreintes.
Ils exploitent les services à distance, les techniques de proxy et les comptes administratifs pour naviguer en toute transparence dans des environnements compromis.
Le groupe cible les référentiels d'informations sensibles, les comptes de messagerie et les données du système local pour les extraire.
Ils emploient des méthodes pour mettre en scène, compresser et sécuriser les données en vue de leur exfiltration, en se concentrant sur les renseignements précieux et les informations exclusives.
APT29 exécute des commandes et des charges utiles sur les réseaux compromis à l'aide de divers interpréteurs de scripts et d'utilitaires de ligne de commande.
Ils utilisent des services à distance et des tâches programmées pour déployer malware et renforcer leur contrôle sur les réseaux.
Les données sont exfiltrées sur des canaux cryptés, en utilisant des méthodes qui garantissent un transfert sécurisé des données volées hors du réseau.
APT29 place les données dans des archives protégées par un mot de passe et utilise des protocoles web pour le transfert des données, en mettant l'accent sur la furtivité et la sécurité.
Les activités du groupe peuvent conduire à des vols de données importants, à de l'espionnage et à une perturbation potentielle des systèmes critiques.
En modifiant les paramètres de confiance des domaines et en déployant malware qui manipule ou crypte les données, APT29 porte atteinte à l'intégrité et à la disponibilité des systèmes, ce qui présente de graves risques pour la sécurité nationale et les opérations de l'organisation.
APT29 exploite les vulnérabilités des applications publiques et se livre à du spearphishing avec des liens ou des pièces jointes malveillants pour s'introduire dans les réseaux cibles.
Ils ont également compromis les fournisseurs de services informatiques et de services gérés en leur permettant d'exploiter des relations de confiance pour un accès plus large.
Le groupe utilise des techniques pour contourner le contrôle des comptes utilisateurs (UAC) et exploiter les vulnérabilités des logiciels pour obtenir des privilèges élevés.
Cela leur permet d'exécuter du code avec des niveaux d'accès plus élevés, ce qui est essentiel pour la profondeur et la furtivité de leurs opérations.
APT29 est capable de désactiver ou de modifier les outils de sécurité et les paramètres des pare-feux afin de ne pas être détecté.
Ils utilisent des techniques d'obscurcissement, notamment l'emballage de logiciels et l 'attribution de noms légitimes aux fichiers malveillants, pour dissimuler leur présence et leurs activités.
Le groupe utilise diverses méthodes pour accéder aux comptes et aux informations d'identification et les manipuler, notamment des attaques par force brute et le vol d'informations d'identification à partir de navigateurs ou par le biais de la vidange de mots de passe.
Ils manipulent cloud et les comptes de courrier électronique pour conserver l'accès et le contrôle des ressources.
APT29 mène des opérations de découverte approfondies à l'aide d'outils et de scripts afin de recueillir des informations sur les configurations de réseau, les comptes de domaine et les ressources internes.
Il s'agit notamment d'énumérer les systèmes distants, les groupes de domaines et les groupes d'autorisations afin d'identifier les cibles intéressantes.
En utilisant des informations d'identification compromises et en manipulant les autorisations des comptes, APT29 se déplace sur les réseaux et accède à des zones restreintes.
Ils exploitent les services à distance, les techniques de proxy et les comptes administratifs pour naviguer en toute transparence dans des environnements compromis.
Le groupe cible les référentiels d'informations sensibles, les comptes de messagerie et les données du système local pour les extraire.
Ils emploient des méthodes pour mettre en scène, compresser et sécuriser les données en vue de leur exfiltration, en se concentrant sur les renseignements précieux et les informations exclusives.
APT29 exécute des commandes et des charges utiles sur les réseaux compromis à l'aide de divers interpréteurs de scripts et d'utilitaires de ligne de commande.
Ils utilisent des services à distance et des tâches programmées pour déployer malware et renforcer leur contrôle sur les réseaux.
Les données sont exfiltrées sur des canaux cryptés, en utilisant des méthodes qui garantissent un transfert sécurisé des données volées hors du réseau.
APT29 place les données dans des archives protégées par un mot de passe et utilise des protocoles web pour le transfert des données, en mettant l'accent sur la furtivité et la sécurité.
Les activités du groupe peuvent conduire à des vols de données importants, à de l'espionnage et à une perturbation potentielle des systèmes critiques.
En modifiant les paramètres de confiance des domaines et en déployant malware qui manipule ou crypte les données, APT29 porte atteinte à l'intégrité et à la disponibilité des systèmes, ce qui présente de graves risques pour la sécurité nationale et les opérations de l'organisation.
TTPs utilisés par APT29
Comment détecter APT29 avec Vectra AI
Foire aux questions
Comment les organisations peuvent-elles détecter les activités d'APT29 ?
La détection d'APT29 nécessite des solutions de détection des menaces avancées capables d'identifier les signes subtils de compromission. Une plateforme de détection des menaces basée sur l'IA telle que Vectra AI peut aider à découvrir des modèles cachés et des comportements malveillants caractéristiques des opérations d'APT29.
Quels sont les secteurs les plus menacés par APT29 ?
APT29 cible un large éventail d'industries, avec un accent particulier sur les secteurs gouvernementaux, diplomatiques, les groupes de réflexion, les soins de santé et l'énergie. Les organisations de ces secteurs doivent être particulièrement vigilantes.
Comment APT29 obtient-il un premier accès aux réseaux ?
APT29 utilise couramment le spearphishing avec des pièces jointes ou des liens malveillants, exploite les vulnérabilités des applications publiques et s'appuie sur des informations d'identification compromises pour obtenir un accès initial aux réseaux ciblés.
Quels sont les éléments à inclure dans un plan d'intervention en cas d'intrusion par APT29 ?
Un plan d'intervention doit comprendre l'isolement immédiat des systèmes affectés, une enquête approfondie pour déterminer l'ampleur de la violation, l'éradication des outils et de l'accès à cybercriminels et un examen complet pour améliorer les mesures de sécurité et prévenir de futures violations.
Comment APT29 maintient-il la persistance au sein d'un réseau compromis ?
APT29 utilise des techniques telles que l'ajout de clés de registre pour l'exécution automatique, le détournement de scripts légitimes et la création de shells web sur des serveurs compromis pour maintenir la persistance.
Existe-t-il des outils spécifiques ou malware associés à APT29 ?
APT29 est connu pour utiliser une variété d'outils personnalisés et malware, y compris, mais sans s'y limiter, SUNBURST, TEARDROP et malware écrits en Python. Ils utilisent également des outils tels que Mimikatz pour le vol de données d'identification.
Quelle est la meilleure stratégie pour se protéger contre APT29 ?
La protection contre l'APT29 implique une stratégie de sécurité à plusieurs niveaux qui comprend des correctifs réguliers des vulnérabilités, une protection robuste sur endpoint , une formation des employés sur phishing et le déploiement d'outils avancés de détection et de réponse aux menaces.
Les activités d'APT29 peuvent-elles être attribuées à des campagnes informatiques spécifiques ?
Oui, APT29 a été associé à plusieurs campagnes de cyberespionnage très médiatisées, dont la compromission de la chaîne d'approvisionnement du logiciel SolarWinds Orion. Elle a toujours ciblé des entités qui s'alignent sur les intérêts stratégiques du gouvernement russe.
Comment APT29 échappe-t-il à la détection et que peut-on faire pour contrer ces techniques ?
APT29 utilise une variété de techniques d'évasion de la défense, telles que la désactivation des outils de sécurité, l'obscurcissement de leur malware, et l'utilisation de canaux cryptés pour la communication. Les contre-mesures comprennent l'utilisation de plateformes de détection des menaces pilotées par l'IA qui peuvent détecter des comportements subtils et complexes et y répondre, l'amélioration de la visibilité sur le réseau et la surveillance continue des activités anormales.
Quelles sont les conséquences d'une violation de l'APT29 ?
Une violation de l'APT29 peut entraîner une perte importante de renseignements et de données, de l'espionnage et une perturbation potentielle des infrastructures critiques. Les organisations touchées par l'APT29 risquent de voir leur réputation entachée, de subir des pertes financières et de compromettre des informations sensibles relatives à la sécurité nationale.