Russian APT Tool Matrix
A Ransomware Tool Matrix projekttel kapcsolatban a CTI kutatóktól, az incidensreagálóktól kapott visszajelzések alapján a BushidoToken névre hallgató biztonsági szakember úgy döntött, hogy készít egy másik eszköz mátrixot, amely különösen Oroszországra összepontosít.
Az orosz APT-csoportok által használt eszközöket gyakran újra felhasználják, és proaktív védekezéssel meghiúsíthatók, sőt akár meg is szüntethetők egyes ellenfelek behatolási képességei. Az Russian APT Tool Matrix használata saját kihívásokkal jár. Bár kétségtelenül hasznos az orosz APT-csoportok által gyakran használt eszközök listája a vadászathoz, felderítéshez és blokkoláshoz, vannak kockázatok is, amint azt az adattárban is megjegyezi a kutató.
Az orosz fenyegető csoportok által használtként azonosított összes eszköz összegyűjtését, kinyerését és címkézését követően néhány érdekes megállapításra derült fény. A legtöbb szkennert használó ellenfél a GRU-hoz kapcsolódó EMBER BEAR volt. A GRU más fenyegető csoportjai, mint például a FANCY BEAR és a Sandworm, gyakran támadó biztonsági eszközök széles skálájára támaszkodtak behatolásaik támogatására. Egy másik érdekes megállapítás az, hogy az orosz fenyegető csoportok, amelyek sok különböző eszközt és platformot használnak az adatok szivárogtatásához, a Turla és a COZY BEAR volt. Összességében a legtöbb különböző eszközt használó orosz fenyegető csoport a COZY BEAR volt, amely az SVR-hez kötődik.
A legnagyobb számú orosz fenyegető csoport által kölcsönösen használt eszközök a következők:
- A Mimikatzot a COZY BEAR, a FANCY BEAR, a BERSERK BEAR, a Gamaredon és a Turla használja.
- Az Impacket a COZY BEAR, a FANCY BEAR, az EMBER BEAR, a Sandworm és a BERSERK BEAR használja.
- A PsExec-et a COZY BEAR, EMBER BEAR, BERSERK BEAR, Gamaredon és Turla használja.
- A Metasploit-ot a FANCY BEAR, EMBER BEAR, Sandworm és Turla használja.
- A ReGeorgot a COZY BEAR, a FANCY BEAR, az EMBER BEAR és a Sandworm használja.
Ha egy behatolás során a fenti eszközök kombinációja figyelhető meg, akkor a behatolást nagy valószínűséggel egy orosz állam által támogatott fenyegető csoport végezhette. A Ransomware Tool Matrix segítségével azonban tudjuk, hogy az orosz fenyegetőcsoportok által használt öt legfontosabb eszközből négyet a ransomware csoportok is gyakran használnak.
