APT29
APT29 a eu de nombreux pseudonymes au cours des dernières années : IRON RITUAL, IRON HEMLOCK, NobleBaron, Dark Halo, StellarParticle, NOBELIUM, UNC2452, YTTRIUM, The Dukes, Cozy Bear, CozyDuke, SolarStorm, Blue Kitsune, UNC3524, Cloaked Ursa et plus récemment Midnight Blizzard. Mais qui sont-ils et comment fonctionnent-ils ? Essayons d'y voir plus clair pour protéger au mieux votre entreprise.
Les origines d'APT29
APT29 serait affilié au Service de renseignement extérieur (SVR) du gouvernement russe, ce qui témoigne d'activités cybernétiques parrainées par l'État.
Le groupe est connu pour sa discipline technique, sa sophistication et sa capacité à s'adapter aux tactiques défensives de sécurité informatique.
APT29 est actif depuis 2008 et a notamment pénétré le réseau du Pentagone, compromis les serveurs du Comité national démocrate et analysé les vulnérabilités des adresses IP publiques.
APT29 serait responsable de la compromission de SolarWinds en 2021 et de l'attaque contre Microsoft en janvier 2024.
Image : Raymond Andrè Hagen
Cibles
Les cibles d'APT29
Pays ciblés par APT29
APT29 cible les réseaux gouvernementaux en Europe et dans les pays membres de l'OTAN, où il se livre à du cyberespionnage contre des entreprises et des groupes de réflexion.
Source : MITRE & SOCradar
Industries ciblées par APT29
Les cibles principales d'APT29 sont les gouvernements, les organisations politiques, les sociétés de recherche et les industries critiques telles que l'énergie, les soins de santél'éducation, la finance et la technologie.
Industries ciblées par APT29
Les cibles principales d'APT29 sont les gouvernements, les organisations politiques, les sociétés de recherche et les industries critiques telles que l'énergie, les soins de santél'éducation, la finance et la technologie.
Méthode d'attaque
Méthode d'attaque d'APT29
APT29 exploite les vulnérabilités des applications publiques et se livre à du spearphishing avec des liens ou des pièces jointes malveillants pour s'introduire dans les réseaux cibles.
Ils ont également compromis les fournisseurs de services informatiques et de services gérés en leur permettant d'exploiter des relations de confiance pour un accès plus large.
Le groupe utilise des techniques pour contourner le contrôle des comptes utilisateurs (UAC) et exploiter les vulnérabilités des logiciels pour obtenir des privilèges élevés.
Cela leur permet d'exécuter du code avec des niveaux d'accès plus élevés, ce qui est essentiel pour la profondeur et la furtivité de leurs opérations.
APT29 est capable de désactiver ou de modifier les outils de sécurité et les paramètres des pare-feux afin de ne pas être détecté.
Ils utilisent des techniques d'obscurcissement, notamment l'emballage de logiciels et l 'attribution de noms légitimes aux fichiers malveillants, pour dissimuler leur présence et leurs activités.
Le groupe utilise diverses méthodes pour accéder aux comptes et aux informations d'identification et les manipuler, notamment des attaques par force brute et le vol d'informations d'identification à partir de navigateurs ou par le biais de la vidange de mots de passe.
Ils manipulent cloud et les comptes de courrier électronique pour conserver l'accès et le contrôle des ressources.
APT29 mène des opérations de découverte approfondies à l'aide d'outils et de scripts afin de recueillir des informations sur les configurations de réseau, les comptes de domaine et les ressources internes.
Il s'agit notamment d'énumérer les systèmes distants, les groupes de domaines et les groupes d'autorisations afin d'identifier les cibles intéressantes.
En utilisant des informations d'identification compromises et en manipulant les autorisations des comptes, APT29 se déplace sur les réseaux et accède à des zones restreintes.
Ils exploitent les services à distance, les techniques de proxy et les comptes administratifs pour naviguer en toute transparence dans des environnements compromis.
Le groupe cible les référentiels d'informations sensibles, les comptes de messagerie et les données du système local pour les extraire.
Ils emploient des méthodes pour mettre en scène, compresser et sécuriser les données en vue de leur exfiltration, en se concentrant sur les renseignements précieux et les informations exclusives.
APT29 exécute des commandes et des charges utiles sur les réseaux compromis à l'aide de divers interpréteurs de scripts et d'utilitaires de ligne de commande.
Ils utilisent des services à distance et des tâches programmées pour déployer malware et renforcer leur contrôle sur les réseaux.
Les données sont exfiltrées sur des canaux cryptés, en utilisant des méthodes qui garantissent un transfert sécurisé des données volées hors du réseau.
APT29 place les données dans des archives protégées par un mot de passe et utilise des protocoles web pour le transfert des données, en mettant l'accent sur la furtivité et la sécurité.
Les activités du groupe peuvent conduire à des vols de données importants, à de l'espionnage et à une perturbation potentielle des systèmes critiques.
En modifiant les paramètres de confiance des domaines et en déployant malware qui manipule ou crypte les données, APT29 porte atteinte à l'intégrité et à la disponibilité des systèmes, ce qui présente de graves risques pour la sécurité nationale et les opérations de l'organisation.
Accès Initial
APT29 exploite les vulnérabilités des applications publiques et se livre à du spearphishing avec des liens ou des pièces jointes malveillants pour s'introduire dans les réseaux cibles.
Ils ont également compromis les fournisseurs de services informatiques et de services gérés en leur permettant d'exploiter des relations de confiance pour un accès plus large.
Élévation de privilèges
Le groupe utilise des techniques pour contourner le contrôle des comptes utilisateurs (UAC) et exploiter les vulnérabilités des logiciels pour obtenir des privilèges élevés.
Cela leur permet d'exécuter du code avec des niveaux d'accès plus élevés, ce qui est essentiel pour la profondeur et la furtivité de leurs opérations.
Défense Evasion
APT29 est capable de désactiver ou de modifier les outils de sécurité et les paramètres des pare-feux afin de ne pas être détecté.
Ils utilisent des techniques d'obscurcissement, notamment l'emballage de logiciels et l 'attribution de noms légitimes aux fichiers malveillants, pour dissimuler leur présence et leurs activités.
Accès aux identifiants
Le groupe utilise diverses méthodes pour accéder aux comptes et aux informations d'identification et les manipuler, notamment des attaques par force brute et le vol d'informations d'identification à partir de navigateurs ou par le biais de la vidange de mots de passe.
Ils manipulent cloud et les comptes de courrier électronique pour conserver l'accès et le contrôle des ressources.
Découverte
APT29 mène des opérations de découverte approfondies à l'aide d'outils et de scripts afin de recueillir des informations sur les configurations de réseau, les comptes de domaine et les ressources internes.
Il s'agit notamment d'énumérer les systèmes distants, les groupes de domaines et les groupes d'autorisations afin d'identifier les cibles intéressantes.
Mouvement latéral
En utilisant des informations d'identification compromises et en manipulant les autorisations des comptes, APT29 se déplace sur les réseaux et accède à des zones restreintes.
Ils exploitent les services à distance, les techniques de proxy et les comptes administratifs pour naviguer en toute transparence dans des environnements compromis.
Collection
Le groupe cible les référentiels d'informations sensibles, les comptes de messagerie et les données du système local pour les extraire.
Ils emploient des méthodes pour mettre en scène, compresser et sécuriser les données en vue de leur exfiltration, en se concentrant sur les renseignements précieux et les informations exclusives.
Exécution
APT29 exécute des commandes et des charges utiles sur les réseaux compromis à l'aide de divers interpréteurs de scripts et d'utilitaires de ligne de commande.
Ils utilisent des services à distance et des tâches programmées pour déployer malware et renforcer leur contrôle sur les réseaux.
Exfiltration
Les données sont exfiltrées sur des canaux cryptés, en utilisant des méthodes qui garantissent un transfert sécurisé des données volées hors du réseau.
APT29 place les données dans des archives protégées par un mot de passe et utilise des protocoles web pour le transfert des données, en mettant l'accent sur la furtivité et la sécurité.
Impact
Les activités du groupe peuvent conduire à des vols de données importants, à de l'espionnage et à une perturbation potentielle des systèmes critiques.
En modifiant les paramètres de confiance des domaines et en déployant malware qui manipule ou crypte les données, APT29 porte atteinte à l'intégrité et à la disponibilité des systèmes, ce qui présente de graves risques pour la sécurité nationale et les opérations de l'organisation.
MITRE ATT&CK Mapping
TTPs utilisés par APT29
TA0001: Initial Access
T1195
Supply Chain Compromise
T1566
Phishing
T1190
Exploit Public-Facing Application
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
T1651
Cloud Administration Command
T1204
User Execution
T1203
Exploitation for Client Execution
T1059
Command and Scripting Interpreter
T1047
Windows Management Instrumentation
TA0003: Persistence
T1505
Server Software Component
T1547
Boot or Logon Autostart Execution
T1546
Event Triggered Execution
T1556
Modify Authentication Process
T1136
Create Account
T1098
Account Manipulation
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1548
Abuse Elevation Control Mechanism
T1068
Exploitation for Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1546
Event Triggered Execution
T1484
Group Policy Modification
T1078
Valid Accounts
T1053
Scheduled Task/Job
T1037
Boot or Logon Initialization Scripts
TA0005: Defense Evasion
T1553
Subvert Trust Controls
T1218
System Binary Proxy Execution
T1140
Deobfuscate/Decode Files or Information
T1548
Abuse Elevation Control Mechanism
T1036
Masquerading
T1027
Obfuscated Files or Information
T1070
Indicator Removal
T1562
Impair Defenses
T1550
Use Alternate Authentication Material
T1556
Modify Authentication Process
T1484
Group Policy Modification
T1078
Valid Accounts
TA0006: Credential Access
T1649
Steal or Forge Authentication Certificates
T1621
Multi-Factor Authentication Request Generation
T1606
Forge Web Credentials
T1558
Steal or Forge Kerberos Tickets
T1539
Steal Web Session Cookie
T1556
Modify Authentication Process
T1555
Credentials from Password Stores
T1552
Unsecured Credentials
T1110
Brute Force
T1003
OS Credential Dumping
TA0007: Discovery
T1482
Domain Trust Discovery
T1087
Account Discovery
T1083
File and Directory Discovery
T1082
System Information Discovery
T1069
Permission Groups Discovery
T1057
Process Discovery
T1016
System Network Configuration Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
T1550
Use Alternate Authentication Material
T1021
Remote Services
TA0009: Collection
T1560
Archive Collected Data
T1213
Data from Information Repositories
T1114
Email Collection
T1074
Data Staged
T1005
Data from Local System
TA0011: Command and Control
T1102
Web Service
T1573
Encrypted Channel
T1568
Dynamic Resolution
T1105
Ingress Tool Transfer
T1090
Proxy
T1071
Application Layer Protocol
T1001
Data Obfuscation
TA0010: Exfiltration
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
No items found.
Détections de la plate-forme
Comment détecter APT29 avec Vectra AI
Foire aux questions
Comment les organisations peuvent-elles détecter les activités d'APT29 ?
La détection d'APT29 nécessite des solutions de détection des menaces avancées capables d'identifier les signes subtils de compromission. Une plateforme de détection des menaces basée sur l'IA telle que Vectra AI peut aider à découvrir des modèles cachés et des comportements malveillants caractéristiques des opérations d'APT29.
Quels sont les secteurs les plus menacés par APT29 ?
APT29 cible un large éventail d'industries, avec un accent particulier sur les secteurs gouvernementaux, diplomatiques, les groupes de réflexion, les soins de santé et l'énergie. Les organisations de ces secteurs doivent être particulièrement vigilantes.
Comment APT29 obtient-il un premier accès aux réseaux ?
APT29 utilise couramment le spearphishing avec des pièces jointes ou des liens malveillants, exploite les vulnérabilités des applications publiques et s'appuie sur des informations d'identification compromises pour obtenir un accès initial aux réseaux ciblés.
Quels sont les éléments à inclure dans un plan d'intervention en cas d'intrusion par APT29 ?
Un plan d'intervention doit comprendre l'isolement immédiat des systèmes affectés, une enquête approfondie pour déterminer l'ampleur de la violation, l'éradication des outils et de l'accès à cybercriminels et un examen complet pour améliorer les mesures de sécurité et prévenir de futures violations.
Comment APT29 maintient-il la persistance au sein d'un réseau compromis ?
APT29 utilise des techniques telles que l'ajout de clés de registre pour l'exécution automatique, le détournement de scripts légitimes et la création de shells web sur des serveurs compromis pour maintenir la persistance.
Existe-t-il des outils spécifiques ou malware associés à APT29 ?
APT29 est connu pour utiliser une variété d'outils personnalisés et malware, y compris, mais sans s'y limiter, SUNBURST, TEARDROP et malware écrits en Python. Ils utilisent également des outils tels que Mimikatz pour le vol de données d'identification.
Quelle est la meilleure stratégie pour se protéger contre APT29 ?
La protection contre l'APT29 implique une stratégie de sécurité à plusieurs niveaux qui comprend des correctifs réguliers des vulnérabilités, une protection robuste sur endpoint , une formation des employés sur phishing et le déploiement d'outils avancés de détection et de réponse aux menaces.
Les activités d'APT29 peuvent-elles être attribuées à des campagnes informatiques spécifiques ?
Oui, APT29 a été associé à plusieurs campagnes de cyberespionnage très médiatisées, dont la compromission de la chaîne d'approvisionnement du logiciel SolarWinds Orion. Elle a toujours ciblé des entités qui s'alignent sur les intérêts stratégiques du gouvernement russe.
Comment APT29 échappe-t-il à la détection et que peut-on faire pour contrer ces techniques ?
APT29 utilise une variété de techniques d'évasion de la défense, telles que la désactivation des outils de sécurité, l'obscurcissement de leur malware, et l'utilisation de canaux cryptés pour la communication. Les contre-mesures comprennent l'utilisation de plateformes de détection des menaces pilotées par l'IA qui peuvent détecter des comportements subtils et complexes et y répondre, l'amélioration de la visibilité sur le réseau et la surveillance continue des activités anormales.
Quelles sont les conséquences d'une violation de l'APT29 ?
Une violation de l'APT29 peut entraîner une perte importante de renseignements et de données, de l'espionnage et une perturbation potentielle des infrastructures critiques. Les organisations touchées par l'APT29 risquent de voir leur réputation entachée, de subir des pertes financières et de compromettre des informations sensibles relatives à la sécurité nationale.