APT29
APT29 ha tenido muchos alias en los últimos años: IRON RITUAL, IRON HEMLOCK, NobleBaron, Dark Halo, StellarParticle, NOBELIUM, UNC2452, YTTRIUM, The Dukes, Cozy Bear, CozyDuke, SolarStorm, Blue Kitsune, UNC3524, Cloaked Ursa y, más recientemente, Midnight Blizzard. Pero, ¿quiénes son y cómo actúan? Averigüémoslo para proteger mejor a su empresa de ellos.
El origen de APT29
Se cree que APT29 está afiliada al Servicio de Inteligencia Exterior (SVR) del gobierno ruso, lo que indica actividades cibernéticas patrocinadas por el Estado.
El grupo es conocido por su disciplina técnica, sofisticación y capacidad de adaptación a las tácticas defensivas de seguridad informática.
APT29 lleva activa desde 2008, con operaciones significativas como la penetración en la red del Pentágono, el ataque a los servidores del Comité Nacional Demócrata y el escaneado de vulnerabilidades de direcciones IP públicas.
Se cree que APT29 es responsable del compromiso de SolarWinds en 2021 y del ataque a Microsoft en enero de 2024.
Imagen: Raymond Andrè Hagen
Objetivos
Objetivos de APT29
Países objetivo de APT29
APT29 tiene como objetivo las redes gubernamentales de Europa y los países miembros de la OTAN, donde se dedica al ciberespionaje contra empresas y grupos de reflexión.
Fuente: MITRE & SOCradar
Industrias objetivo de APT29
Método de ataque
Método de ataque de APT29
APT29 aprovecha las vulnerabilidades de las aplicaciones de cara al público y se dedica al spearphishing con enlaces o archivos adjuntos maliciosos para entrar en las redes objetivo.
También han comprometido a los proveedores de servicios gestionados y de TI a aprovechar las relaciones de confianza para ampliar el acceso.
El grupo emplea técnicas para eludir el Control de Cuentas de Usuario (UAC ) y explotar vulnerabilidades de software para obtener privilegios elevados.
Esto les permite ejecutar código con mayores niveles de acceso, algo fundamental para la profundidad y el sigilo de sus operaciones.
APT29 es experto en desactivar o modificar herramientas de seguridad y configuraciones de cortafuegos para pasar desapercibido.
Utilizan técnicas de ofuscación, como el empaquetado de software y el enmascaramiento de archivos maliciosos con nombres legítimos, para ocultar su presencia y sus actividades.
El grupo utiliza varios métodos para acceder y manipular cuentas y credenciales, incluidos ataques de fuerza bruta y robo de credenciales de navegadores o mediante el volcado de contraseñas.
Manipulan cloud y las cuentas de correo electrónico para mantener el acceso y el control sobre los recursos.
APT29 lleva a cabo extensas operaciones de descubrimiento utilizando herramientas y scripts para recopilar información sobre configuraciones de red, cuentas de dominio y recursos internos.
Esto incluye enumerar sistemas remotos, grupos de dominio y grupos de permisos para identificar objetivos valiosos.
Utilizando credenciales comprometidas y manipulando los permisos de las cuentas, APT29 se desplaza por las redes y accede a áreas restringidas.
Aprovechan los servicios remotos, las técnicas de proxy y las cuentas administrativas para navegar sin problemas por entornos comprometidos.
El grupo tiene como objetivo los repositorios de información sensible, las cuentas de correo electrónico y los datos del sistema local para su extracción.
Emplean métodos para escenificar, comprimir y asegurar los datos para su exfiltración, centrándose en la información confidencial y de inteligencia valiosa.
APT29 ejecuta comandos y cargas útiles a través de redes comprometidas utilizando varios intérpretes de scripts y utilidades de línea de comandos.
Utilizan servicios remotos y tareas programadas para desplegar malware y ampliar su control dentro de las redes.
Los datos se filtran a través de canales cifrados, utilizando métodos que garantizan la transferencia segura de los datos robados fuera de la red.
APT29 escenifica los datos en archivos protegidos por contraseña y utiliza protocolos web para la transferencia de datos, haciendo hincapié en la ocultación y la seguridad.
Las actividades del grupo pueden dar lugar a importantes robos de datos, espionaje e interrupción potencial de sistemas críticos.
Al alterar la configuración de confianza de los dominios y desplegar malware que manipula o cifra los datos, la APT29 socava la integridad y disponibilidad de los sistemas, lo que supone graves riesgos para la seguridad nacional y las operaciones de las organizaciones.
Acceso inicial
APT29 aprovecha las vulnerabilidades de las aplicaciones de cara al público y se dedica al spearphishing con enlaces o archivos adjuntos maliciosos para entrar en las redes objetivo.
También han comprometido a los proveedores de servicios gestionados y de TI a aprovechar las relaciones de confianza para ampliar el acceso.
Escalada de privilegios
El grupo emplea técnicas para eludir el Control de Cuentas de Usuario (UAC ) y explotar vulnerabilidades de software para obtener privilegios elevados.
Esto les permite ejecutar código con mayores niveles de acceso, algo fundamental para la profundidad y el sigilo de sus operaciones.
Defensa Evasión
APT29 es experto en desactivar o modificar herramientas de seguridad y configuraciones de cortafuegos para pasar desapercibido.
Utilizan técnicas de ofuscación, como el empaquetado de software y el enmascaramiento de archivos maliciosos con nombres legítimos, para ocultar su presencia y sus actividades.
Acceso con credenciales
El grupo utiliza varios métodos para acceder y manipular cuentas y credenciales, incluidos ataques de fuerza bruta y robo de credenciales de navegadores o mediante el volcado de contraseñas.
Manipulan cloud y las cuentas de correo electrónico para mantener el acceso y el control sobre los recursos.
Descubrimiento
APT29 lleva a cabo extensas operaciones de descubrimiento utilizando herramientas y scripts para recopilar información sobre configuraciones de red, cuentas de dominio y recursos internos.
Esto incluye enumerar sistemas remotos, grupos de dominio y grupos de permisos para identificar objetivos valiosos.
Movimiento lateral
Utilizando credenciales comprometidas y manipulando los permisos de las cuentas, APT29 se desplaza por las redes y accede a áreas restringidas.
Aprovechan los servicios remotos, las técnicas de proxy y las cuentas administrativas para navegar sin problemas por entornos comprometidos.
Colección
El grupo tiene como objetivo los repositorios de información sensible, las cuentas de correo electrónico y los datos del sistema local para su extracción.
Emplean métodos para escenificar, comprimir y asegurar los datos para su exfiltración, centrándose en la información confidencial y de inteligencia valiosa.
Ejecución
APT29 ejecuta comandos y cargas útiles a través de redes comprometidas utilizando varios intérpretes de scripts y utilidades de línea de comandos.
Utilizan servicios remotos y tareas programadas para desplegar malware y ampliar su control dentro de las redes.
Exfiltración
Los datos se filtran a través de canales cifrados, utilizando métodos que garantizan la transferencia segura de los datos robados fuera de la red.
APT29 escenifica los datos en archivos protegidos por contraseña y utiliza protocolos web para la transferencia de datos, haciendo hincapié en la ocultación y la seguridad.
Impacto
Las actividades del grupo pueden dar lugar a importantes robos de datos, espionaje e interrupción potencial de sistemas críticos.
Al alterar la configuración de confianza de los dominios y desplegar malware que manipula o cifra los datos, la APT29 socava la integridad y disponibilidad de los sistemas, lo que supone graves riesgos para la seguridad nacional y las operaciones de las organizaciones.
MITRE ATT&CK Cartografía
TTP utilizadas por APT29
TA0001: Initial Access
T1195
Supply Chain Compromise
T1566
Phishing
T1190
Exploit Public-Facing Application
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
T1651
Cloud Administration Command
T1204
User Execution
T1203
Exploitation for Client Execution
T1059
Command and Scripting Interpreter
T1047
Windows Management Instrumentation
TA0003: Persistence
T1505
Server Software Component
T1547
Boot or Logon Autostart Execution
T1546
Event Triggered Execution
T1556
Modify Authentication Process
T1136
Create Account
T1098
Account Manipulation
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1548
Abuse Elevation Control Mechanism
T1068
Exploitation for Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1546
Event Triggered Execution
T1484
Group Policy Modification
T1078
Valid Accounts
T1053
Scheduled Task/Job
T1037
Boot or Logon Initialization Scripts
TA0005: Defense Evasion
T1553
Subvert Trust Controls
T1218
System Binary Proxy Execution
T1140
Deobfuscate/Decode Files or Information
T1548
Abuse Elevation Control Mechanism
T1036
Masquerading
T1027
Obfuscated Files or Information
T1070
Indicator Removal
T1562
Impair Defenses
T1550
Use Alternate Authentication Material
T1556
Modify Authentication Process
T1484
Group Policy Modification
T1078
Valid Accounts
TA0006: Credential Access
T1649
Steal or Forge Authentication Certificates
T1621
Multi-Factor Authentication Request Generation
T1606
Forge Web Credentials
T1558
Steal or Forge Kerberos Tickets
T1539
Steal Web Session Cookie
T1556
Modify Authentication Process
T1555
Credentials from Password Stores
T1552
Unsecured Credentials
T1110
Brute Force
T1003
OS Credential Dumping
TA0007: Discovery
T1482
Domain Trust Discovery
T1087
Account Discovery
T1083
File and Directory Discovery
T1082
System Information Discovery
T1069
Permission Groups Discovery
T1057
Process Discovery
T1016
System Network Configuration Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
T1550
Use Alternate Authentication Material
T1021
Remote Services
TA0009: Collection
T1560
Archive Collected Data
T1213
Data from Information Repositories
T1114
Email Collection
T1074
Data Staged
T1005
Data from Local System
TA0011: Command and Control
T1102
Web Service
T1573
Encrypted Channel
T1568
Dynamic Resolution
T1105
Ingress Tool Transfer
T1090
Proxy
T1071
Application Layer Protocol
T1001
Data Obfuscation
TA0010: Exfiltration
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
No items found.
Detección de plataformas
Cómo detectar APT29 con Vectra AI
Preguntas frecuentes
¿Cómo pueden las organizaciones detectar las actividades de APT29?
La detección de APT29 requiere soluciones avanzadas de detección de amenazas capaces de identificar signos sutiles de compromiso. Una plataforma de detección de amenazas basada en IA como Vectra AI puede ayudar a descubrir patrones ocultos y comportamientos maliciosos característicos de las operaciones de APT29.
¿Qué sectores están más expuestos al riesgo de APT29?
APT29 se dirige a un amplio espectro de industrias, con especial atención a los sectores gubernamental, diplomático, de grupos de reflexión, sanitario y energético. Las organizaciones de estos sectores deben estar especialmente alerta.
¿Cómo consigue APT29 el acceso inicial a las redes?
La APT29 utiliza habitualmente el spearphishing con archivos adjuntos o enlaces maliciosos, aprovecha vulnerabilidades en aplicaciones de cara al público y se sirve de credenciales comprometidas para obtener acceso inicial a las redes objetivo.
¿Qué debe incluir un plan de respuesta a una intrusión APT29?
Un plan de respuesta debe incluir el aislamiento inmediato de los sistemas afectados, una investigación exhaustiva para determinar el alcance de la brecha, la erradicación de las herramientas y accesos de cybercriminels' y una revisión exhaustiva para mejorar las posturas de seguridad y prevenir futuras brechas.
¿Cómo mantiene APT29 su persistencia dentro de una red comprometida?
APT29 utiliza técnicas como la adición de claves de registro para la ejecución automática, el secuestro de scripts legítimos y la creación de web shells en servidores comprometidos para mantener la persistencia.
¿Existen herramientas específicas o malware asociadas a la APT29?
Se sabe que APT29 utiliza diversas herramientas personalizadas y malware, entre las que se incluyen SUNBURST, TEARDROP y malware escritas en Python. También utilizan herramientas como Mimikatz para el robo de credenciales.
¿Cuál es la mejor estrategia para protegerse contra APT29?
La protección contra las APT29 implica una estrategia de seguridad a varios niveles que incluya la aplicación periódica de parches a las vulnerabilidades, una sólida protección de los puntos finales, la formación de los empleados sobre la concienciación en phishing y el despliegue de herramientas avanzadas de detección y respuesta a las amenazas.
¿Pueden atribuirse las actividades de APT29 a campañas cibernéticas específicas?
Sí, APT29 ha estado vinculada a varias campañas de ciberespionaje de gran repercusión, incluido el ataque a la cadena de suministro del software SolarWinds Orion. Sus objetivos han sido sistemáticamente entidades alineadas con los intereses estratégicos del gobierno ruso.
¿Cómo elude la detección APT29 y qué se puede hacer para contrarrestar estas técnicas?
La APT29 utiliza diversas técnicas de evasión de la defensa, como la desactivación de herramientas de seguridad, la ofuscación de su malware y la utilización de canales cifrados para la comunicación. Las contramedidas incluyen el empleo de plataformas de detección de amenazas basadas en IA que pueden detectar y responder a comportamientos de amenazas sutiles y complejos, mejorar la visibilidad en toda la red y la supervisión continua de actividades anómalas.
¿Cuáles son las implicaciones de una brecha APT29?
Una brecha de APT29 puede provocar importantes pérdidas de información y datos, espionaje y la posible interrupción de infraestructuras críticas. Las organizaciones afectadas por APT29 se enfrentan a daños en su reputación, pérdidas económicas y la posibilidad de poner en peligro información confidencial de seguridad nacional.