APT29 یک گروه هکری است که آژانس های اطلاعاتی و شرکت های مختلف امنیت سایبری آن را مرتبط با سازمان های اطلاعاتی دولت روسیه می دانند.
Cozy Dukes ،Cozy Bear و Dukes نام های مستعار مختلفی هستند که به این گروه نسبت داده اند. بیشتر فعالیت های این گروه در سال 2023 مربوط به انجام حملات مختلف علیه کشور اوکراین بوده بخصوص در نیمه اول سال 2023 با شروع ضدحمله کیف سرعت انجام حملات افزایش یافته و با جمع آوری اطلاعات از سرویس های اطلاعاتی و دفاعی اوکراین و با دادن این اطلاعات به سرویس های اطلاعاتی روسیه (SVR) نقش موثری را در جنگ ایفا کردند. همچنین با نفوذ به سفارتخانه های خارجی در اوکراین سعی بر پیدا کردن پشتیبان ها و روابط این کشور با بقیه کشورها را داشتند. با اینکه جنگ روسیه و اوکراین اولویت اول حملات این گروه است اما همچنان فعالیت های خود را در نقاط مختلف جهان قطع نکرده و مشغول انجام حملات مختلف بخصوص فیشینگ در سازمان ها و سفارتخانه های اروپایی می باشد، همچنین این گروه در آسیا بر روی دولت های ترکیه و هند و سایر مناطقی که اهمیت استراتژیک و حیاتی برای مسکو دارند متمرکز شده است.
با وجود افزایش سرعت و هدف این گروه در یک سال اخیر برای پنهان سازی بدافزار و فرار از تشخیص توسط آنتی ویروس، ابزارها و روش های خود را برای اجرا و تحویل آن به قربانی توسعه داده است. از سال 2021 این گروه از تکنیک HTML Smuggling برای تحویل بدافزارهای خود استفاده می کند. در این تکنیک یک کد جاوا اسکریپت در فایل HTML مخفی می شود، این تکنیک به اسم ROOTSAW یا EnvyScout نیز شناخته می شود. پس از باز کردن فایل HTML توسط قربانی یک فایل میانبر ویندوز (LNK) یا یک فایل قانونی ارائه میشود که پس از باز شدن توسط قربانی DLL همراه با این فایل ها اجرا می شود که منجر به ایجاد Backdoor مانند Beacon یا BRC4 (Brute Ratel C4) در سیستم می شود. APT29 وقت زیادی را برای نحوه تحویل بدافزار های خود صرف کرده است و در حملات اخیر خود از روش های متفاوتی مانند JavaScript Obfuscator، میزبانی کلیدهای رمزگشایی سمت سرور و غیره استفاده کرده است.
در مارس 2023 یک کمپین فیشینگ از APT29 کشور ترکیه را مورد هدف قرار داد. در این کمپین گروه APT29 خود را جانشین معاون وزیر امور خارجه ترکیه معرفی می کردند و یک ایمیل حاوی لینک فیشینگ با محتوای مربوط به زمین لرزه فوریه 2023 که جنوب ترکیه را لرزاند را تحویل دولت ترکیه می دادند. در این کمپین از یک لینک فیشینگ تولید شده توسط یک سرویس کوتاه کننده URL https://tinyurl[.]com/mrxcjsbs برای هدایت قربانی به ROOTSAW که بر روی C2 سرور APT29 قرار داشت استفاده می کردند، برای اولین بار در این کمپین مشاهده شد که APT29 از سرویس کوتاه کننده لینک استفاده می کند.
در مارس 2023 تنها دو هفته پس از حمله فیشینگ ترکیه این بار یک کمپینی علیه دیپلمات های اروپایی توسط APT29 شکل گرفت. یک ایمیل حاوی پیوست PDF بود که قربانیان را به پذیرایی نوشیدنی پس از رویدادی درباره “آینده روابط اقتصاد بین المللی” از سفارت اسپانیا دعوت می کرد. این PDF حاوی یک لینک بود که منجر به استقرار ROOTSAW و در نهایت باعث پیاده سازی MUSKYBEAT می شد. همچنین در این کمپین با مشاهده ی رفتار ROOTSAW مشخص شد که از روش های جدیدی برای دور زدن آنتی ویروس استفاده می کند.
همچنین در ماه مه 2023 قبل از حمله متقابل اوکراین، APT29 طی یک فیشینگ گسترده نمایندگی های دیپلماتیک در کیف از جمله نمایندگان شرکای مسکو را هدف قرار داد. در این کمپین یک آگهی تغییر کاربری برای فروش BMW در کیف پخش شد که قربانیان را به سرور C2 این گروه منتقل می کرد.
راه هایی برای کاهش این خطر پذیری
- عدم کلیک بر روی لینک های موجود در ایمیل های ناشناس
- نطارت بر نرم افزارهای نصب شده
- نظارت بر ریدایرکت شدن به صفحات آلوده
روش های تشخیص این حمله
با استفاده از آنتی ویروس ، اجزای تهدید این حمله به عنوان بدافزار شناخته می شوند.
در صورت استفاده از سیستم شناسایی و پاسخ در نقاط پایانی هوپان (EDR) که یکی از اساسی ترین ماژول های راهکار گسترده شناسایی و پاسخ نخجیرپان (XDR) میباشد، تحلیل فعالیت های مرتبط و هشدارهای زیر مشاهده می گردد:
- مشاهده بر پروسس های در حال اجرا
- مشاهده بر نرم افزارهای نصب شده
- نظارت بر DLL های اجرا شده
این تهدید از تکنیک های زیر که در جدول مایتر اتک موجود می باشد استفاده نموده است.
| Initial Access | Execution | Persistence | Privilege Escalation | Defense Evasion | Discovery | Command And Control | Exfiltration |
| Drive-by Compromise | AppleScript | .bash_profile and .bashrc | Access Token Manipulation | Access Token Manipulation | Account Discovery | Standard Application Layer Protocol | Automated Exfiltration |
| Exploit Public-Facing Application | User Execution | Accessibility Features | Accessibility Features | Binary Padding | Application Window Discovery | Communication Through Removable Media | Data Compressed |
| External Remote Services | Command-Line Interface | Account Manipulation | AppCert DLLs | BITS Jobs | Browser Bookmark Discovery | Connection Proxy | Data Encrypted |
| Hardware Additions | Compiled HTML File | AppCert DLLs | AppInit DLLs | Bypass User Account Control | Domain Trust Discovery | Encrypted Channel | Data Transfer Size Limits |
| Replication Through Removable Media | Component Object Model and Distributed COM | AppInit DLLs | Application Shimming | Clear Command History | File and Directory Discovery | Custom Cryptographic Protocol | Exfiltration Over Alternative Protocol |
| Spearphishing Attachment | Command and Scripting Interpreter | Application Shimming | Bypass User Account Control | CMSTP | Network Service Scanning | Data Encoding | Exfiltration Over Command and Control Channel |
| Spearphishing Link | Dynamic Data Exchange | Authentication Package | DLL Search Order Hijacking | Code Signing | Network Share Discovery | Data Obfuscation | Exfiltration Over Other Network Medium |
| Spearphishing via Service | Execution through API | BITS Jobs | Dylib Hijacking | Compile After Delivery | Network Sniffing | Domain Fronting | Exfiltration Over Physical Medium |
| Supply Chain Compromise | Execution through Module Load | Bootkit | Elevated Execution with Prompt | Compiled HTML File | Password Policy Discovery | Domain Generation Algorithms | Scheduled Transfer |
| Trusted Relationship | Exploitation for Client Execution | Browser Extensions | Emond | Component Firmware | Peripheral Device Discovery | Fallback Channels | |
| Valid Accounts | Graphical User Interface | Change Default File Association | Exploitation for Privilege Escalation | Component Object Model Hijacking | Permission Groups Discovery | Multi-hop Proxy | |
| InstallUtil | Component Firmware | Extra Window Memory Injection | Connection Proxy | Process Discovery | Multi-Stage Channels | ||
| Launchctl | Component Object Model Hijacking | File System Permissions Weakness | Control Panel Items | Query Registry | Multiband Communication | ||
| Local Job Scheduling | Create Account | Hooking | DCShadow | Remote System Discovery | Multilayer Encryption | ||
| LSASS Driver | DLL Search Order Hijacking | Image File Execution Options Injection | Deobfuscate/Decode Files or Information | Security Software Discovery | Standard Non-Application Layer Protocol | ||
| Mshta | Dylib Hijacking | Launch Daemon | Disabling Security Tools | Software Discovery | Remote Access Tools | ||
| PowerShell | Emond | New Service | DLL Search Order Hijacking | System Information Discovery | Remote File Copy | ||
| Regsvcs/Regasm | External Remote Services | Parent PID Spoofing | DLL Side-Loading | System Network Configuration Discovery | Ingress Tool Transfer | ||
| Regsvr32 | File System Permissions Weakness | Path Interception | Execution Guardrails | System Network Connections Discovery | Standard Cryptographic Protocol | ||
| Rundll32 | Hidden Files and Directories | Plist Modification | Exploitation for Defense Evasion | System Owner/User Discovery | Non-Standard Port | ||
| Scheduled Task | Hooking | Port Monitors | Extra Window Memory Injection | System Service Discovery | DNS | ||
| Scripting | Hypervisor | PowerShell Profile | File and Directory Permissions Modification | System Time Discovery | Web Service | ||
| Service Execution | Image File Execution Options Injection | Process Injection | File Deletion | Virtualization/Sandbox Evasion | |||
| Signed Binary Proxy Execution | Kernel Modules and Extensions | Scheduled Task | File System Logical Offsets | ||||
| Signed Script Proxy Execution | Launch Agent | Service Registry Permissions Weakness | Gatekeeper Bypass | ||||
| Source | Launch Daemon | Setuid and Setgid | Group Policy Modification | ||||
| Space after Filename | Launchctl | SID-History Injection | Hidden Files and Directories | ||||
| Third-party Software | LC_LOAD_DYLIB Addition | Startup Items | Hidden Users | ||||
| Trap | Local Job Scheduling | Sudo | Hidden Window | ||||
| Trusted Developer Utilities | Login Item | Sudo Caching | HISTCONTROL | ||||
| User Execution | Logon Scripts | Valid Accounts | Image File Execution Options Injection | ||||
| Windows Management Instrumentation | LSASS Driver | Web Shell | Indicator Removal | ||||
| Windows Remote Management | Modify Existing Service | Indicator Removal from Tools | |||||
| XSL Script Processing | Netsh Helper DLL | Indicator Removal on Host | |||||
| New Service | Indirect Command Execution | ||||||
| Office Application Startup | Install Root Certificate | ||||||
| Path Interception | InstallUtil | ||||||
| Plist Modification | Launchctl | ||||||
| Port Knocking | LC_MAIN Hijacking | ||||||
| Port Monitors | Masquerading | ||||||
| PowerShell Profile | Modify Registry | ||||||
| Rc.common | Mshta | ||||||
| Re-opened Applications | Network Share Connection Removal | ||||||
| Redundant Access | NTFS File Attributes | ||||||
| Registry Run Keys / Startup Folder | Obfuscated Files or Information | ||||||
| Scheduled Task | Parent PID Spoofing | ||||||
| Screensaver | Plist Modification | ||||||
| Security Support Provider | Port Knocking | ||||||
| Server Software Component | Process Doppelgänging | ||||||
| Service Registry Permissions Weakness | Process Hollowing | ||||||
| Setuid and Setgid | Process Injection | ||||||
| Shortcut Modification | Redundant Access | ||||||
| SIP and Trust Provider Hijacking | Regsvcs/Regasm | ||||||
| Startup Items | Regsvr32 | ||||||
| System Firmware | Reflective code Loading | ||||||
| Systemd Service | Rundll32 | ||||||
| Time Providers | Scripting | ||||||
| Trap | Signed Binary Proxy Execution | ||||||
| Valid Accounts | Signed Script Proxy Execution | ||||||
| Web Shell | SIP and Trust Provider Hijacking | ||||||
| Windows Management Instrumentation Event Subscription | Software Packing | ||||||
| Winlogon Helper DLL | Space after Filename | ||||||
| Template Injection | |||||||
| Timestomp | |||||||
| Trusted Developer Utilities | |||||||
| Valid Accounts | |||||||
| Virtualization/Sandbox Evasion | |||||||
| Web Service | |||||||
| XSL Script Processing |