• Главная
  • Исследования
  • Хакерские группировки
  • CozyDuke

CozyDuke

Альтернативные названия: APT 29, The Dukes, Group 100, Yttrium, Iron Hemlock, Minidionis
Атакуемые отрасли:
  • Государственный сектор
  • Промышленный сектор
  • Телекоммуникации
  • Образование
  • Военно-промышленный комплекс
  • Исследовательские компании
  • Неправительственные организации
  • Фармацевтика

Содержание

  • Общее описание
  • Инструменты
  • Атакуемые отрасли
  • Атакуемые страны
  • Альтернативные названия группы
  • Отчеты Positive Technologies и других исследователей
  • Тактики из MITRE ATT&CK, использованные группой

Цели:

  • Шпионаж

Общее описание

CozyDuke нацелена преимущественно на государственный сектор и охотится за конфиденциальной информацией. CozyDuke имеют внушительный арсенал самописного ВПО и часто используют в атаках альтернативные методы выполнения, например через PowerShell и WMI.

Инструменты

  • CloudDuke
  • Cobalt Strike
  • CosmicDuke
  • CozyCar
  • CozyDuke
  • FatDuke
  • GeminiDuke
  • HammerToss/HammerDuke
  • LiteDuke
  • meek
  • MiniDuke
  • Net
  • OnionDuke
  • PinchDuke
  • PolyglotDuke
  • PoshSpy
  • PowerDuke
  • RegDuke
  • SeaDuke
  • SoreFang
  • WellMail
  • WellMess

Атакуемые отрасли

  • Государственный сектор
  • Образование
  • Промышленный сектор
  • Фармацевтика
  • Телекоммуникации
  • Неправительственные организации
  • Военно-промышленный комплекс
  • Исследовательские компании

Атакуемые страны

  • Австралия
  • Азербайджан
  • Беларусь
  • Бельгия
  • Болгария
  • Бразилия
  • Великобритания
  • Венгрия
  • Германия
  • Грузия
  • Израиль
  • Индия
  • Ирландия
  • Испания
  • Казахстан
  • Канада
  • Кипр
  • Китай
  • Кыргызстан
  • Латвия
  • Ливан
  • Литва
  • Люксембург
  • Мексика
  • Нидерланды
  • Новая Зеландия
  • Польша
  • Португалия
  • Россия
  • Румыния
  • Словения
  • Соединенные Штаты Америки
  • Турция
  • Уганда
  • Узбекистан
  • Украина
  • Франция
  • Черногория
  • Чехия
  • Южная Корея
  • Япония

Альтернативные названия группы

  • APT 29
  • The Dukes
  • Group 100
  • Yttrium
  • Iron Hemlock
  • Minidionis

Отчеты Positive Technologies и других исследователей

  • https://www.f-secure.com/documents/996508/1030745/dukes_whitepaper.pdf
  • https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-national-committee/
  • https://www.carbonblack.com/blog/the-dukes-of-moscow/
  • https://www.microsoft.com/security/blog/2018/12/03/analysis-of-cyberattack-on-u-s-think-tanks-non-profits-public-sector-by-unidentified-attackers/
  • https://www.welivesecurity.com/wp-content/uploads/2019/10/ESET_Operation_Ghost_Dukes.pdf
  • https://www.ncsc.gov.uk/files/Advisory-APT29-targets-COVID-19-vaccine-development-V1-1.pdf
  • https://securelist.com/the-cozyduke-apt/69731/
  • https://securelist.com/miniduke-is-back-nemesis-gemina-and-the-botgen-studio/64107/
  • https://securelist.com/the-miniduke-mystery-pdf-0-day-government-spy-assembler-0x29a-micro-backdoor/31112/
  • http://www.slideshare.net/MatthewDunwoody1/no-easy-breach-derby-con-2016
  • http://www.symantec.com/connect/blogs/forkmeiamfamous-seaduke-latest-weapon-duke-armory
  • https://www.pwc.co.uk/issues/cyber-security-services/insights/cleaning-up-after-wellmess.html
  • https://www.pwc.co.uk/issues/cyber-security-services/insights/wellmess-analysis-command-control.html
  • https://www2.fireeye.com/rs/848-DID-242/images/rpt-apt29-hammertoss.pdf
  • https://www.fireeye.com/blog/threat-research/2018/11/not-so-cozy-an-uncomfortable-examination-of-a-suspected-apt29-phishing-campaign.html
  • https://www.fireeye.com/blog/threat-research/2017/03/apt29_domain_frontin.html
  • https://www.fireeye.com/blog/threat-research/2017/03/dissecting_one_ofap.html
  • https://www.volexity.com/blog/2016/11/09/powerduke-post-election-spear-phishing-campaigns-targeting-think-tanks-and-ngos/
  • https://us-cert.cisa.gov/ncas/analysis-reports/ar20-198a
  • https://us-cert.cisa.gov/ncas/analysis-reports/ar20-198c
  • https://us-cert.cisa.gov/ncas/analysis-reports/ar20-198b
  • https://www.us-cert.gov/sites/default/files/publications/AR-17-20045_Enhanced_Analysis_of_GRIZZLY_STEPPE_Activity.pdf

Тактики из MITRE ATT&CK, использованные группой

ID Название Описание
Initial Access
T1566.001 Spearphishing Attachment Группа CozyDuke рассылала фишинговые письма с вредоносными вложениями, содержащие эксплойты
T1566.002 Spearphishing Link Группа CozyDuke рассылала фишинговые письма с вредоносными ссылками, ведущими на архив с вредоносным содержимым
T1078.002 Valid Accounts: Domain Accounts Группа CozyDuke использовала украденные учетные данные пользователей, для того чтобы через некоторое время вернуться в скомпрометированную сеть
T1190 Exploit Public-Facing Application Группа CozyDuke эксплуатировала уязвимости CVE-2019-19781 в Citrix, CVE-2019-11510 в Pulse Secure VPN, CVE-2018-13379 в FortiGate VPN и CVE-2019-9670 в Zimbra
Resource Development
T1583.006 Web Services Группа CozyDuke использовала Twitter как C2 для ВПО HAMMERTOSS
T1587.003 Digital Certificates Группа CozyDuke использовала самоподписанный сертификат для обеспечения mTLS-соединения с C2
Execution
T1129 Shared Modules Группа CozyDuke использовала ВПО, которое подгружало модули через API функцию LoadLibrary
T1106 Native API Группа CozyDuke использовала API функции CreateProcess и LoadLibrary для запуска исполняемых файлов
T1203 Exploitation for Client Execution Группа CozyDuke использовала эксплойты для популярного ПО, таких как Microsoft Word или Adobe Reader
T1059.001 PowerShell Группа CozyDuke использовала закодированные скрипты PowerShell для загрузки и установки SeaDuke
T1204.002 Malicious File Группа CozyDuke рассылала фишинговые письма с вредоносными документами
T1047 Windows Management Instrumentation Группа CozyDuke использовала WMI для кражи учетных записей и выполнения ВПО
T1053.005 Scheduled Task Группа CozyDuke использовала планировщик задач для закрепления
T1569.002 System Services: Service Execution Группа CozyDuke использовала PsExec для удаленного запуска ВПО
T1059.006 Python Группа CozyDuke использовала ВПО, написанное на языке Python
Persistence
T1546.003 Windows Management Instrumentation Event Subscription Группа CozyDuke использовала WMI для закрепления на машине
T1547.001 Registry Run Keys / Startup Folder Группа CozyDuke использовала ключ автозагрузки в реестре Windows для закрепления
T1547.009 Shortcut Modification Группа CozyDuke использовала вредоносный .LNK файл
Privilege Escalation
T1546.008 Accessibility Features Группа CozyDuke использовала sticky-keys для получения системных привилегий
T1548.002 Bypass User Account Control Группа CozyDuke использовала техники обхода UAC
Defense Evasion
T1112 Modify Registry Группа CozyDuke использовала ВПО, которое могло быть дешифровано только с помощью ключа, хранящегося в реестре
T1140 Deobfuscate/Decode Files or Information Группа CozyDuke использовала ВПО со встроенными зашифрованными пейлоадами
T1027.002 Software Packing Группа CozyDuke использовала UPX для упаковки файлов
T1550.003 Pass the Ticket Группа CozyDuke использовала Kerberos ticket для продвижения внутрь сети
T1070.004 File Deletion Группа CozyDuke использовала утилиту SDELETE для удаления артефактов своей активности с зараженных машин
T1218.011 Rundll32 Группа CozyDuke использовала rundll32.exr для запуска ВПО
T1027 Obfuscated Files or Information Группа CozyDuke использовала powershell для декодирования Base64 данных
T1078.002 Domain Accounts Группа CozyDuke использовала легитимные аккаунты для продвижения внутрь скомпрометированной сети, в том числе и аккаунты администраторов
Discovery
T1083 File and Directory Discovery Группа CozyDuke взаимодействовала с файлами и папками на зараженных машинах
T1135 Network Share Discovery Группа CozyDuke собирала список сетевых папок
T1057 Process Discovery Группа CozyDuke собирала список запущенных процессов
T1049 System Network Connections Discovery Группа CozyDuke исполняла команду net use для сбора информации о сетевых подключениях
Collection
T1025 Data from Removable Media Группа CozyDuke собирала файлы с подключенных внешних устройств
T1039 Data from Network Shared Drive Группа CozyDuke собирала файлы с сетевых папок
T1005 Data from Local System Группа CozyDuke использовала бэкдоры, которые собирают файлы по маске расширения
Command And Control
T1090.001 Proxy: Internal Proxy Группа CozyDuke использовала proxy для кражи файлов из зараженных систем. Группа также использовала именованные pipes для взаимодействия с машинами, у которых нет доступа в интернет
T1090.003 Multi-hop Proxy Группа CozyDuke использовала бэкдор, который создавал скрытый сервис для перенаправления трафика из Tor-клиента на локальные порты 3389 (RDP), 139 (Netbios) и 445 (SMB)
T1008 Fallback Channels Группа CozyDuke использовала альтернативный C2, если основной не был доступен
T1095 Non-Application Layer Protocol Группа CozyDuke использовала TCP для связи с C2
T1043 Commonly Used Port Группа CozyDuke использовала 443 порт для C2
T1001.002 Steganography Группа CozyDuke использовала стеганографию для хранения адреса C2 в картинке
T1102.002 Bidirectional Communication Группа CozyDuke использовала платформы соцмедиа для сокрытия соединения с C2

Группировки, атакующие такие же отрасли:

  • APT31
  • APT32
  • Bronze Union
  • Calypso
  • ChamelGang
Поделиться:
Ссылка скопирована
Вернуться к выбору статей
Решения
  • PT XDR
  • Построение центра ГосСОПКА
  • Комплекс для раннего выявления сложных угроз
  • Безопасность объектов КИИ
  • PT Industrial Cybersecurity Suite
  • Безопасность Linux-систем
  • Выполнение Указа № 250
Продукты
  • MaxPatrol 8
  • MaxPatrol SIEM
  • PT Threat Analyzer
  • PT ISIM
  • MaxPatrol O2
  • PT MultiScanner
  • ПТ Ведомственный центр
  • MaxPatrol EDR
  • MaxPatrol SIEM All-in-One
  • MaxPatrol VM
  • PT Network Attack Discovery
  • PT Application Firewall
  • PT Application Inspector
  • PT BlackBox
  • PT Platform 187
  • XSpider
  • PT Sandbox
  • PT Threat Intelligence Feeds
  • PT Container Security
Сервисы
  • Непрерывный анализ защищенности бизнеса
  • Услуги PT Expert Security Center
  • Исследование угроз и уязвимостей аппаратных решений
  • Техническая поддержка
Исследования
  • Аналитические статьи
  • База знаний
  • Словарь терминов ИБ
  • Хакерские группировки
  • PT ESC Threat Intelligence
  • Блог
  • Вебинары
  • Уязвимости и угрозы
Партнеры
  • Бизнес-партнеры
  • Дистрибьюторы
  • Технологические партнеры
  • MSSP-партнеры
  • Авторизованные учебные центры
  • Стать партнером
  • Вход в личный кабинет
О компании
  • История
  • Клиенты
  • Мероприятия
  • Вакансии
  • Новости
  • Пресс-центр
  • Контакты
  • Документация и материалы
  • Долговые инструменты
Инвесторам
Positive Technologies
© Positive Technologies, 2002—2023.
Мы в социальных сетях:
  • Сообщить об уязвимости
  • Справочный портал
  • Правила использования
  • Политика конфиденциальности
  • Согласие на сбор и обработку персональных данных
  • Согласие на получение рассылки рекламно-информационных материалов
  • Политика использования файлов cookie
  • Юридическая информация
  • Информация в ленте Интерфакс
  • Карта сайта
© Positive Technologies, 2002—2023.
  • Сообщить об уязвимости
  • Справочный портал
  • Правила использования
  • Политика конфиденциальности
  • Согласие на сбор и обработку персональных данных
  • Согласие на получение рассылки рекламно-информационных материалов
  • Политика использования файлов cookie
  • Юридическая информация
  • Информация в ленте Интерфакс
  • Карта сайта