Jak w Sycope wykrywać artefakty sieciowe związane z APT28?

O APT28

Grupa ta była zaangażowana w różne kampanie cybernetyczne wysokiego szczebla, wymierzone w organizacje rządowe, wojskowe, dyplomatyczne, przemysł obronny oraz organizacje pozarządowe na całym świecie. Dodatkowo grupa ta zajmuje się głównie działalnością cyberszpiegowską, której celem jest pozyskiwanie informacji wywiadowczych i poufnych danych od wybranych organizacji. Skupia się na celach politycznych, wojskowych i gospodarczych. Grupa prowadzi wysoce ukierunkowane i długotrwałe ataki na konkretne podmioty, często dostosowując swoje taktyki, techniki i procedury (TTP) do cech danego celu. APT28 znana jest z używania zaawansowanych i wyrafinowanych technik, w tym exploitów typu zero-day, niestandardowego złośliwego oprogramowania, socjotechniki oraz kampanii phishingowych. Nieustannie rozwija swoje narzędzia i metody, aby uniknąć wykrycia.

Jak wykrywać artefakty sieciowe APT28

Wykrywanie artefaktów sieciowych związanych z APT28 obejmuje połączenie monitorowania sieci, wywiadu o zagrożeniach oraz najlepszych praktyk w zakresie bezpieczeństwa. Oto kilka ogólnych kroków, które można podjąć:

1. Monitorowanie sieci:

   • Analiza ruchu: Monitoruj ruch sieciowy pod kątem nietypowych wzorców lub skoków w przesyłaniu danych.

   • Wykrywanie anomalii: Użyj narzędzi do wykrywania anomalii w sieci, aby zidentyfikować odchylenia od zachowania bazowego.

   • Inspekcja pakietów: Analizuj pakiety sieciowe pod kątem podejrzanych aktywności, takich jak nietypowe wzorce komunikacji lub szyfrowany ruch.

2. Analiza logów:

   • Logi zapory sieciowej: Regularnie przeglądaj logi zapory pod kątem nieautoryzowanych prób dostępu lub podejrzanych połączeń.

   • Logi serwera proxy: Analizuj logi proxy w poszukiwaniu nietypowego zachowania użytkowników, szczególnie jeśli występują nieoczekiwane połączenia lub transfery danych.

   • Logi DNS: Monitoruj logi DNS pod kątem nietypowych żądań domenowych lub wzorców wskazujących na komunikację C2 (command and control).

3. Integracja z wywiadem o zagrożeniach:

   • Użyj źródeł zagrożeń: Zintegruj źródła wywiadu o zagrożeniach ze swoją infrastrukturą bezpieczeństwa, aby identyfikować znane wskaźniki kompromitacji (IoC) powiązane z APT28.

   • Bazy danych IoC: Regularnie sprawdzaj i porównuj swoje logi sieciowe z publicznymi i prywatnymi bazami danych zawierającymi IoC związane z APT28.

4. Wykrywanie oparte na sygnaturach:

   • Systemy IDS/IPS: Wdróż mechanizmy wykrywania oparte na sygnaturach w swoich systemach IDS/IPS, aby identyfikować znane wzorce ataków APT28.

   • Oprogramowanie antywirusowe/antymalware: Upewnij się, że Twoje rozwiązania antywirusowe mają aktualne sygnatury wykrywające złośliwe oprogramowanie związane z kampaniami APT28.

5. Analiza behawioralna:

   • Analiza zachowań użytkowników (UBA): Wdroż rozwiązania UBA, aby identyfikować nietypowe lub podejrzane aktywności użytkowników w sieci.

   • EDR: Użyj rozwiązań EDR do monitorowania zachowania punktów końcowych pod kątem oznak kompromitacji.

6. Reagowanie na incydenty:

   • Plan reagowania na incydenty: Miej dobrze zdefiniowany plan reagowania na incydenty, obejmujący procedury badania i łagodzenia incydentów związanych z APT28.

   • Analiza kryminalistyczna: Przeprowadzaj dokładną analizę kryminalistyczną w przypadku podejrzenia naruszenia, aby określić jego zakres.

7. Szkolenie pracowników:

   • Świadomość phishingu: Edukuj pracowników na temat zagrożeń phishingowych i taktyk socjotechniki powszechnie stosowanych przez APT28.

W dniach od 15 do 25 grudnia 2023 roku wykryto kilka przypadków rozsyłania wiadomości e-mail zawierających odnośniki do „dokumentów” wśród organizacji państwowych, których odwiedzenie doprowadzało do uszkodzenia komputerów przez złośliwe oprogramowanie wykorzystywane prawdopodobnie przez grupę APT28. Zespół CERT-UA opublikował (https://cert.gov.ua/article/6276894) wskaźniki kompromitacji (IoC) dotyczące tej aktywności, a na ich podstawie zespół Sycope przygotował wyszukiwanie pozwalające na wykrycie złośliwej aktywności na podstawie przepływów sieciowych.

‍lookupKeyExists(„APT28_IPs”, {„ip”: clientIp} ) OR lookupKeyExists(„APT28_IPs”, {„ip”: serverIp}) OR lookupKeyExists(„APT28_Domains”, {„domain”: dnsQuery}) | set bytes=add(clientBytes, serverBytes) | aggr bytes=sum(bytes) by clientIp,serverIp unwind=true | sort bytes desc | bytes > 500 | project +clientIp,+serverIp,+bytes as clientBytes

Ważne jest, aby pamiętać, że APT28 znana jest z wykorzystywania wyrafinowanych i ukierunkowanych ataków, często dostosowując swoje narzędzia w celu uniknięcia wykrycia. Regularna aktualizacja środków bezpieczeństwa, bycie na bieżąco z najnowszymi zagrożeniami oraz współpraca z odpowiednimi społecznościami wywiadowczymi może zwiększyć zdolność organizacji do wykrywania i reagowania na artefakty sieciowe związane z APT28.