APT29
APT29'un geçmiş yıllarda birçok takma adı olmuştur: IRON RITUAL, IRON HEMLOCK, NobleBaron, Dark Halo, StellarParticle, NOBELIUM, UNC2452, YTTRIUM, The Dukes, Cozy Bear, CozyDuke, SolarStorm, Blue Kitsune, UNC3524, Cloaked Ursa ve son olarak Midnight Blizzard. Peki bunlar kim ve nasıl faaliyet gösteriyorlar? Şirketinizi onlardan en iyi şekilde korumak için bunu çözelim.
APT29'un Kökeni
APT29'un Rus hükümetinin Dış İstihbarat Servisi (SVR) ile bağlantılı olduğuna inanılıyor ve bu da devlet destekli siber faaliyetlere işaret ediyor.
Grup, teknik disiplini, karmaşıklığı ve savunmacı BT güvenlik taktiklerine uyum sağlama becerisiyle tanınıyor.
APT29 2008'den beri aktiftir ve Pentagon'un ağını ihlal etmek, Demokratik Ulusal Komite sunucularını tehlikeye atmak ve halka açık IP adreslerinde güvenlik açığı taraması yapmak gibi önemli operasyonlar gerçekleştirmiştir.
APT29'un 2021'deki SolarWinds Compromise ve Ocak 2024'te Microsoft'a yapılan saldırıdan sorumlu olduğuna inanılıyor.
Resim: Raymond Andrè Hagen
Hedefler
APT29'un Hedefleri
APT29 tarafından hedef alınan ülkeler
APT29 Avrupa ve NATO üyesi ülkelerdeki hükümet ağlarını hedef almakta ve burada firmalara ve düşünce kuruluşlarına karşı siber casusluk faaliyetlerinde bulunmaktadır.
Kaynak: MITRE & SOCradar
APT29 Tarafından Hedeflenen Sektörler
APT29'un başlıca hedefleri arasında hükümetler, siyasi kuruluşlar, araştırma firmaları ve Enerji gibi kritik sektörler yer almaktadır, sağlık hizmetleri, eğitim, Finans ve teknoloji.
APT29 Tarafından Hedeflenen Sektörler
APT29'un başlıca hedefleri arasında hükümetler, siyasi kuruluşlar, araştırma firmaları ve Enerji gibi kritik sektörler yer almaktadır, sağlık hizmetleri, eğitim, Finans ve teknoloji.
Saldırı Yöntemi
APT29'un Saldırı Yöntemi
APT29, halka açık uygulamalardaki güvenlik açıklarından yararlanır ve hedef ağlara giriş yapmak için kötü niyetli bağlantılar veya eklerle kimlik avı yapar.
Ayrıca, daha geniş erişim için güvenilir ilişkilerden yararlanmak üzere BT ve yönetilen hizmet sağlayıcılarını da tehlikeye attılar.
Grup, Kullanıcı Hesabı Denetimi'ni (UAC) atlamak ve yükseltilmiş ayrıcalıklar için yazılım açıklarından yararlanmak için teknikler kullanmaktadır.
Bu, operasyonlarının derinliği ve gizliliği için kritik olan daha yüksek erişim seviyelerine sahip kod çalıştırmalarını sağlar.
APT29, fark edilmemek için güvenlik araçlarını ve güvenlik duvarı ayarlarını devre dışı bırakma veya değiştirme konusunda ustadır.
Varlıklarını ve faaliyetlerini gizlemek için yazılım paketleme ve kötü amaçlı dosyaları meşru isimlerle maskeleme gibi şaşırtma teknikleri kullanırlar.
Grup, hesaplara ve kimlik bilgilerine erişmek ve bunları manipüle etmek için kaba kuvvet saldırıları ve tarayıcılardan kimlik bilgilerini çalma ya da şifre boşaltma gibi çeşitli yöntemler kullanmaktadır.
Kaynaklar üzerinde erişim ve kontrol sağlamak için bulut ve e-posta hesaplarını manipüle ederler.
APT29, ağ yapılandırmaları, etki alanı hesapları ve dahili kaynaklar hakkında bilgi toplamak için araçlar ve komut dosyaları kullanarak kapsamlı keşif işlemleri gerçekleştirir.
Bu, değerli hedefleri belirlemek için uzak sistemleri, etki alanı gruplarını ve izin gruplarını numaralandırmayı içerir.
APT29, ele geçirilmiş kimlik bilgilerini kullanarak ve hesap izinlerini manipüle ederek ağlar arasında hareket eder ve kısıtlı alanlara erişir.
Tehlikeli ortamlarda sorunsuz gezinme için uzak hizmetlerden, proxy tekniklerinden ve yönetici hesaplarından yararlanırlar.
Grup, hassas bilgi havuzlarını, e-posta hesaplarını ve yerel sistem verilerini ayıklamayı hedefliyor.
Değerli istihbarat ve özel bilgilere odaklanarak, sızıntı için verileri aşamalandırmak, sıkıştırmak ve güvenli hale getirmek için yöntemler kullanırlar.
APT29, çeşitli komut dosyası yorumlayıcıları ve komut satırı yardımcı programları kullanarak güvenliği ihlal edilmiş ağlar üzerinden komutları ve yükleri yürütür.
malware adresini dağıtmak ve ağlar üzerindeki kontrollerini artırmak için uzak hizmetleri ve zamanlanmış görevleri kullanırlar.
Veriler, çalınan verilerin ağ dışına güvenli bir şekilde aktarılmasını sağlayacak yöntemler kullanılarak şifrelenmiş kanallar üzerinden dışarıya sızdırılır.
APT29 verileri parola korumalı arşivlere yerleştirir ve veri aktarımı için web protokollerini kullanarak gizlilik ve güvenliği vurgular.
Grubun faaliyetleri önemli ölçüde veri hırsızlığına, casusluğa ve kritik sistemlerin potansiyel olarak kesintiye uğramasına yol açabilir.
Etki alanı güven ayarlarını değiştirerek ve verileri manipüle eden veya şifreleyen malware adresini dağıtarak APT29, sistem bütünlüğünü ve kullanılabilirliğini zayıflatarak ulusal güvenlik ve kurumsal operasyonlar için ciddi riskler oluşturmaktadır.
İlk Erişim
APT29, halka açık uygulamalardaki güvenlik açıklarından yararlanır ve hedef ağlara giriş yapmak için kötü niyetli bağlantılar veya eklerle kimlik avı yapar.
Ayrıca, daha geniş erişim için güvenilir ilişkilerden yararlanmak üzere BT ve yönetilen hizmet sağlayıcılarını da tehlikeye attılar.
Ayrıcalık Yükseltme
Grup, Kullanıcı Hesabı Denetimi'ni (UAC) atlamak ve yükseltilmiş ayrıcalıklar için yazılım açıklarından yararlanmak için teknikler kullanmaktadır.
Bu, operasyonlarının derinliği ve gizliliği için kritik olan daha yüksek erişim seviyelerine sahip kod çalıştırmalarını sağlar.
Savunma Kaçırma
APT29, fark edilmemek için güvenlik araçlarını ve güvenlik duvarı ayarlarını devre dışı bırakma veya değiştirme konusunda ustadır.
Varlıklarını ve faaliyetlerini gizlemek için yazılım paketleme ve kötü amaçlı dosyaları meşru isimlerle maskeleme gibi şaşırtma teknikleri kullanırlar.
Kimlik Bilgileri Erişimi
Grup, hesaplara ve kimlik bilgilerine erişmek ve bunları manipüle etmek için kaba kuvvet saldırıları ve tarayıcılardan kimlik bilgilerini çalma ya da şifre boşaltma gibi çeşitli yöntemler kullanmaktadır.
Kaynaklar üzerinde erişim ve kontrol sağlamak için bulut ve e-posta hesaplarını manipüle ederler.
Keşif
APT29, ağ yapılandırmaları, etki alanı hesapları ve dahili kaynaklar hakkında bilgi toplamak için araçlar ve komut dosyaları kullanarak kapsamlı keşif işlemleri gerçekleştirir.
Bu, değerli hedefleri belirlemek için uzak sistemleri, etki alanı gruplarını ve izin gruplarını numaralandırmayı içerir.
Yanal Hareket
APT29, ele geçirilmiş kimlik bilgilerini kullanarak ve hesap izinlerini manipüle ederek ağlar arasında hareket eder ve kısıtlı alanlara erişir.
Tehlikeli ortamlarda sorunsuz gezinme için uzak hizmetlerden, proxy tekniklerinden ve yönetici hesaplarından yararlanırlar.
Koleksiyon
Grup, hassas bilgi havuzlarını, e-posta hesaplarını ve yerel sistem verilerini ayıklamayı hedefliyor.
Değerli istihbarat ve özel bilgilere odaklanarak, sızıntı için verileri aşamalandırmak, sıkıştırmak ve güvenli hale getirmek için yöntemler kullanırlar.
Yürütme
APT29, çeşitli komut dosyası yorumlayıcıları ve komut satırı yardımcı programları kullanarak güvenliği ihlal edilmiş ağlar üzerinden komutları ve yükleri yürütür.
malware adresini dağıtmak ve ağlar üzerindeki kontrollerini artırmak için uzak hizmetleri ve zamanlanmış görevleri kullanırlar.
Sızma
Veriler, çalınan verilerin ağ dışına güvenli bir şekilde aktarılmasını sağlayacak yöntemler kullanılarak şifrelenmiş kanallar üzerinden dışarıya sızdırılır.
APT29 verileri parola korumalı arşivlere yerleştirir ve veri aktarımı için web protokollerini kullanarak gizlilik ve güvenliği vurgular.
Etki
Grubun faaliyetleri önemli ölçüde veri hırsızlığına, casusluğa ve kritik sistemlerin potansiyel olarak kesintiye uğramasına yol açabilir.
Etki alanı güven ayarlarını değiştirerek ve verileri manipüle eden veya şifreleyen malware adresini dağıtarak APT29, sistem bütünlüğünü ve kullanılabilirliğini zayıflatarak ulusal güvenlik ve kurumsal operasyonlar için ciddi riskler oluşturmaktadır.
MITRE ATT&CK Haritalama
APT29 tarafından kullanılan TTP'ler
TA0001: Initial Access
T1195
Supply Chain Compromise
T1566
Phishing
T1190
Exploit Public-Facing Application
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
T1651
Cloud Administration Command
T1204
User Execution
T1203
Exploitation for Client Execution
T1059
Command and Scripting Interpreter
T1047
Windows Management Instrumentation
TA0003: Persistence
T1505
Server Software Component
T1547
Boot or Logon Autostart Execution
T1546
Event Triggered Execution
T1556
Modify Authentication Process
T1136
Create Account
T1098
Account Manipulation
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1548
Abuse Elevation Control Mechanism
T1068
Exploitation for Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1546
Event Triggered Execution
T1484
Group Policy Modification
T1078
Valid Accounts
T1053
Scheduled Task/Job
T1037
Boot or Logon Initialization Scripts
TA0005: Defense Evasion
T1553
Subvert Trust Controls
T1218
System Binary Proxy Execution
T1140
Deobfuscate/Decode Files or Information
T1548
Abuse Elevation Control Mechanism
T1036
Masquerading
T1027
Obfuscated Files or Information
T1070
Indicator Removal
T1562
Impair Defenses
T1550
Use Alternate Authentication Material
T1556
Modify Authentication Process
T1484
Group Policy Modification
T1078
Valid Accounts
TA0006: Credential Access
T1649
Steal or Forge Authentication Certificates
T1621
Multi-Factor Authentication Request Generation
T1606
Forge Web Credentials
T1558
Steal or Forge Kerberos Tickets
T1539
Steal Web Session Cookie
T1556
Modify Authentication Process
T1555
Credentials from Password Stores
T1552
Unsecured Credentials
T1110
Brute Force
T1003
OS Credential Dumping
TA0007: Discovery
T1482
Domain Trust Discovery
T1087
Account Discovery
T1083
File and Directory Discovery
T1082
System Information Discovery
T1069
Permission Groups Discovery
T1057
Process Discovery
T1016
System Network Configuration Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
T1550
Use Alternate Authentication Material
T1021
Remote Services
TA0009: Collection
T1560
Archive Collected Data
T1213
Data from Information Repositories
T1114
Email Collection
T1074
Data Staged
T1005
Data from Local System
TA0011: Command and Control
T1102
Web Service
T1573
Encrypted Channel
T1568
Dynamic Resolution
T1105
Ingress Tool Transfer
T1090
Proxy
T1071
Application Layer Protocol
T1001
Data Obfuscation
TA0010: Exfiltration
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
No items found.
Platform Tespitleri
APT29 ile Nasıl Tespit Edilir Vectra AI
Sıkça Sorulan Sorular
Kuruluşlar APT29'un faaliyetlerini nasıl tespit edebilir?
APT29'u tespit etmek, taviz'un ince işaretlerini belirleyebilen gelişmiş tehdit tespit çözümleri gerektirir. Vectra AI gibi yapay zeka odaklı bir tehdit tespit platformu, APT29 operasyonlarının karakteristiği olan gizli kalıpları ve kötü niyetli davranışları ortaya çıkarmaya yardımcı olabilir.
APT29'dan en çok hangi sektörler risk altında?
APT29, özellikle hükümet, diplomatik, düşünce kuruluşu, sağlık ve enerji sektörlerine odaklanarak geniş bir endüstri yelpazesini hedeflemektedir. Bu sektörlerdeki kuruluşlar özellikle dikkatli olmalıdır.
APT29 ağlara ilk erişimi nasıl elde ediyor?
APT29 genellikle kötü niyetli ekler veya bağlantılar içeren kimlik avı yöntemini kullanır, halka açık uygulamalardaki güvenlik açıklarından yararlanır ve hedeflenen ağlara ilk erişimi elde etmek için güvenliği ihlal edilmiş kimlik bilgilerinden yararlanır.
APT29 izinsiz girişine yönelik bir müdahale planına neler dahil edilmelidir?
Müdahale planı, etkilenen sistemlerin derhal izole edilmesini, ihlalin kapsamını belirlemek için kapsamlı bir araştırmayı, cybercriminels araçlarının ve erişiminin ortadan kaldırılmasını ve güvenlik duruşlarını geliştirmek ve gelecekteki ihlalleri önlemek için kapsamlı bir incelemeyi içermelidir.
APT29 ele geçirilmiş bir ağda kalıcılığını nasıl koruyor?
APT29, otomatik başlatma yürütmesi için kayıt defteri anahtarları eklemek, meşru komut dosyalarını ele geçirmek ve kalıcılığı sürdürmek için güvenliği ihlal edilmiş sunucularda web kabukları oluşturmak gibi teknikler kullanır.
APT29 ile ilişkili belirli araçlar veya malware var mı?
APT29'un Python'da yazılmış SUNBURST, TEARDROP ve malware dahil ancak bunlarla sınırlı olmamak üzere çeşitli özel araçlar ve malware kullandığı bilinmektedir. Ayrıca kimlik bilgisi hırsızlığı için Mimikatz gibi araçlar da kullanmaktadırlar.
APT29'a karşı korunmak için en iyi strateji nedir?
APT29'ye karşı koruma, güvenlik açıklarının düzenli olarak yamalanmasını, sağlam uç nokta korumasını, phishing farkındalığı konusunda çalışan eğitimini ve gelişmiş tehdit tespit ve müdahale araçlarının konuşlandırılmasını içeren çok katmanlı bir güvenlik stratejisini içerir.
APT29'un faaliyetleri belirli siber kampanyalarla ilişkilendirilebilir mi?
Evet, APT29, SolarWinds Orion yazılım tedarik zinciri de dahil olmak üzere birçok yüksek profilli siber casusluk kampanyasıyla bağlantılıdır taviz. Rus hükümetinin stratejik çıkarlarıyla örtüşen kuruluşları sürekli olarak hedef almışlardır.
APT29 tespit edilmekten nasıl kaçıyor ve bu tekniklere karşı ne yapılabilir?
APT29, güvenlik araçlarını devre dışı bırakmak, malware adresini gizlemek ve iletişim için şifreli kanallar kullanmak gibi çeşitli savunma atlatma teknikleri kullanmaktadır. Karşı önlemler arasında, ince ve karmaşık tehdit davranışlarını tespit edip bunlara yanıt verebilen yapay zeka odaklı tehdit tespit platformlarının kullanılması, ağ genelinde görünürlüğün artırılması ve anormal faaliyetlerin sürekli olarak izlenmesi yer almaktadır.
APT29 ihlalinin sonuçları nelerdir?
Bir APT29 ihlali, önemli istihbarat ve veri kaybına, casusluğa ve kritik altyapıların potansiyel olarak bozulmasına yol açabilir. APT29'dan etkilenen kuruluşlar itibar kaybı, mali kayıp ve hassas ulusal güvenlik bilgilerinin taviz potansiyeliyle karşı karşıyadır.