Содержание
Цели:
- Шпионаж
Общее описание
CozyDuke нацелена преимущественно на государственный сектор и охотится за конфиденциальной информацией. CozyDuke имеют внушительный арсенал самописного ВПО и часто используют в атаках альтернативные методы выполнения, например через PowerShell и WMI.
Инструменты
- CloudDuke
- Cobalt Strike
- CosmicDuke
- CozyCar
- CozyDuke
- FatDuke
- GeminiDuke
- HammerToss/HammerDuke
- LiteDuke
- meek
- MiniDuke
- Net
- OnionDuke
- PinchDuke
- PolyglotDuke
- PoshSpy
- PowerDuke
- RegDuke
- SeaDuke
- SoreFang
- WellMail
- WellMess
Атакуемые отрасли
- Государственный сектор
- Образование
- Промышленный сектор
- Фармацевтика
- Телекоммуникации
- Неправительственные организации
- Военно-промышленный комплекс
- Исследовательские компании
Атакуемые страны
- Австралия
- Азербайджан
- Беларусь
- Бельгия
- Болгария
- Бразилия
- Великобритания
- Венгрия
- Германия
- Грузия
- Израиль
- Индия
- Ирландия
- Испания
- Казахстан
- Канада
- Кипр
- Китай
- Кыргызстан
- Латвия
- Ливан
- Литва
- Люксембург
- Мексика
- Нидерланды
- Новая Зеландия
- Польша
- Португалия
- Россия
- Румыния
- Словения
- Соединенные Штаты Америки
- Турция
- Уганда
- Узбекистан
- Украина
- Франция
- Черногория
- Чехия
- Южная Корея
- Япония
Альтернативные названия группы
- APT 29
- The Dukes
- Group 100
- Yttrium
- Iron Hemlock
- Minidionis
Отчеты Positive Technologies и других исследователей
- https://www.f-secure.com/documents/996508/1030745/dukes_whitepaper.pdf
- https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-national-committee/
- https://www.carbonblack.com/blog/the-dukes-of-moscow/
- https://www.microsoft.com/security/blog/2018/12/03/analysis-of-cyberattack-on-u-s-think-tanks-non-profits-public-sector-by-unidentified-attackers/
- https://www.welivesecurity.com/wp-content/uploads/2019/10/ESET_Operation_Ghost_Dukes.pdf
- https://www.ncsc.gov.uk/files/Advisory-APT29-targets-COVID-19-vaccine-development-V1-1.pdf
- https://securelist.com/the-cozyduke-apt/69731/
- https://securelist.com/miniduke-is-back-nemesis-gemina-and-the-botgen-studio/64107/
- https://securelist.com/the-miniduke-mystery-pdf-0-day-government-spy-assembler-0x29a-micro-backdoor/31112/
- http://www.slideshare.net/MatthewDunwoody1/no-easy-breach-derby-con-2016
- http://www.symantec.com/connect/blogs/forkmeiamfamous-seaduke-latest-weapon-duke-armory
- https://www.pwc.co.uk/issues/cyber-security-services/insights/cleaning-up-after-wellmess.html
- https://www.pwc.co.uk/issues/cyber-security-services/insights/wellmess-analysis-command-control.html
- https://www2.fireeye.com/rs/848-DID-242/images/rpt-apt29-hammertoss.pdf
- https://www.fireeye.com/blog/threat-research/2018/11/not-so-cozy-an-uncomfortable-examination-of-a-suspected-apt29-phishing-campaign.html
- https://www.fireeye.com/blog/threat-research/2017/03/apt29_domain_frontin.html
- https://www.fireeye.com/blog/threat-research/2017/03/dissecting_one_ofap.html
- https://www.volexity.com/blog/2016/11/09/powerduke-post-election-spear-phishing-campaigns-targeting-think-tanks-and-ngos/
- https://us-cert.cisa.gov/ncas/analysis-reports/ar20-198a
- https://us-cert.cisa.gov/ncas/analysis-reports/ar20-198c
- https://us-cert.cisa.gov/ncas/analysis-reports/ar20-198b
- https://www.us-cert.gov/sites/default/files/publications/AR-17-20045_Enhanced_Analysis_of_GRIZZLY_STEPPE_Activity.pdf
Тактики из MITRE ATT&CK, использованные группой
| ID | Название | Описание |
|---|---|---|
| Initial Access | ||
| T1566.001 | Spearphishing Attachment | Группа CozyDuke рассылала фишинговые письма с вредоносными вложениями, содержащие эксплойты |
| T1566.002 | Spearphishing Link | Группа CozyDuke рассылала фишинговые письма с вредоносными ссылками, ведущими на архив с вредоносным содержимым |
| T1078.002 | Valid Accounts: Domain Accounts | Группа CozyDuke использовала украденные учетные данные пользователей, для того чтобы через некоторое время вернуться в скомпрометированную сеть |
| T1190 | Exploit Public-Facing Application | Группа CozyDuke эксплуатировала уязвимости CVE-2019-19781 в Citrix, CVE-2019-11510 в Pulse Secure VPN, CVE-2018-13379 в FortiGate VPN и CVE-2019-9670 в Zimbra |
| Resource Development | ||
| T1583.006 | Web Services | Группа CozyDuke использовала Twitter как C2 для ВПО HAMMERTOSS |
| T1587.003 | Digital Certificates | Группа CozyDuke использовала самоподписанный сертификат для обеспечения mTLS-соединения с C2 |
| Execution | ||
| T1129 | Shared Modules | Группа CozyDuke использовала ВПО, которое подгружало модули через API функцию LoadLibrary |
| T1106 | Native API | Группа CozyDuke использовала API функции CreateProcess и LoadLibrary для запуска исполняемых файлов |
| T1203 | Exploitation for Client Execution | Группа CozyDuke использовала эксплойты для популярного ПО, таких как Microsoft Word или Adobe Reader |
| T1059.001 | PowerShell | Группа CozyDuke использовала закодированные скрипты PowerShell для загрузки и установки SeaDuke |
| T1204.002 | Malicious File | Группа CozyDuke рассылала фишинговые письма с вредоносными документами |
| T1047 | Windows Management Instrumentation | Группа CozyDuke использовала WMI для кражи учетных записей и выполнения ВПО |
| T1053.005 | Scheduled Task | Группа CozyDuke использовала планировщик задач для закрепления |
| T1569.002 | System Services: Service Execution | Группа CozyDuke использовала PsExec для удаленного запуска ВПО |
| T1059.006 | Python | Группа CozyDuke использовала ВПО, написанное на языке Python |
| Persistence | ||
| T1546.003 | Windows Management Instrumentation Event Subscription | Группа CozyDuke использовала WMI для закрепления на машине |
| T1547.001 | Registry Run Keys / Startup Folder | Группа CozyDuke использовала ключ автозагрузки в реестре Windows для закрепления |
| T1547.009 | Shortcut Modification | Группа CozyDuke использовала вредоносный .LNK файл |
| Privilege Escalation | ||
| T1546.008 | Accessibility Features | Группа CozyDuke использовала sticky-keys для получения системных привилегий |
| T1548.002 | Bypass User Account Control | Группа CozyDuke использовала техники обхода UAC |
| Defense Evasion | ||
| T1112 | Modify Registry | Группа CozyDuke использовала ВПО, которое могло быть дешифровано только с помощью ключа, хранящегося в реестре |
| T1140 | Deobfuscate/Decode Files or Information | Группа CozyDuke использовала ВПО со встроенными зашифрованными пейлоадами |
| T1027.002 | Software Packing | Группа CozyDuke использовала UPX для упаковки файлов |
| T1550.003 | Pass the Ticket | Группа CozyDuke использовала Kerberos ticket для продвижения внутрь сети |
| T1070.004 | File Deletion | Группа CozyDuke использовала утилиту SDELETE для удаления артефактов своей активности с зараженных машин |
| T1218.011 | Rundll32 | Группа CozyDuke использовала rundll32.exr для запуска ВПО |
| T1027 | Obfuscated Files or Information | Группа CozyDuke использовала powershell для декодирования Base64 данных |
| T1078.002 | Domain Accounts | Группа CozyDuke использовала легитимные аккаунты для продвижения внутрь скомпрометированной сети, в том числе и аккаунты администраторов |
| Discovery | ||
| T1083 | File and Directory Discovery | Группа CozyDuke взаимодействовала с файлами и папками на зараженных машинах |
| T1135 | Network Share Discovery | Группа CozyDuke собирала список сетевых папок |
| T1057 | Process Discovery | Группа CozyDuke собирала список запущенных процессов |
| T1049 | System Network Connections Discovery | Группа CozyDuke исполняла команду net use для сбора информации о сетевых подключениях |
| Collection | ||
| T1025 | Data from Removable Media | Группа CozyDuke собирала файлы с подключенных внешних устройств |
| T1039 | Data from Network Shared Drive | Группа CozyDuke собирала файлы с сетевых папок |
| T1005 | Data from Local System | Группа CozyDuke использовала бэкдоры, которые собирают файлы по маске расширения |
| Command And Control | ||
| T1090.001 | Proxy: Internal Proxy | Группа CozyDuke использовала proxy для кражи файлов из зараженных систем. Группа также использовала именованные pipes для взаимодействия с машинами, у которых нет доступа в интернет |
| T1090.003 | Multi-hop Proxy | Группа CozyDuke использовала бэкдор, который создавал скрытый сервис для перенаправления трафика из Tor-клиента на локальные порты 3389 (RDP), 139 (Netbios) и 445 (SMB) |
| T1008 | Fallback Channels | Группа CozyDuke использовала альтернативный C2, если основной не был доступен |
| T1095 | Non-Application Layer Protocol | Группа CozyDuke использовала TCP для связи с C2 |
| T1043 | Commonly Used Port | Группа CozyDuke использовала 443 порт для C2 |
| T1001.002 | Steganography | Группа CozyDuke использовала стеганографию для хранения адреса C2 в картинке |
| T1102.002 | Bidirectional Communication | Группа CozyDuke использовала платформы соцмедиа для сокрытия соединения с C2 |
