El investigador BushidoToken ha publicado una matriz de herramientas integral centrada en los grupos rusos de amenazas persistentes avanzadas (APT).
Inspirado por el éxito de Ransomware Tools Matrix, este proyecto tiene como objetivo catalogar y analizar herramientas comúnmente utilizadas por los piratas informáticos respaldados por el estado ruso.
Este esfuerzo está diseñado para aprovechar el hecho de que estos grupos frecuentemente reutilizan herramientas para ayudar a los defensores a detectar y bloquear intrusiones de manera proactiva.
La matriz de herramientas APT de Rusia incluye una amplia gama de grupos de amenazas pertenecientes a la GRU (Dirección Federal de Inteligencia de Rusia), el SVR (Servicio Federal de Inteligencia Exterior de Rusia) y el FSB (Servicio Federal de Seguridad de Rusia).
Únase a un panel virtual para conocer a los CISO y obtener más información sobre el cumplimiento: unirse es gratis
Los hallazgos clave del proyecto destacan los diversos conjuntos de herramientas que emplean estos grupos.
Afiliados de GRU: Se descubrió que EMBER BEAR, FANCY BEAR y Sandworm hacían un uso intensivo de herramientas de seguridad ofensivas (OST) en sus intrusiones. Entre estos grupos, EMBER BEAR en particular fue el que utilizó la mayoría de los escáneres. Organizaciones afiliadas a SVR: COZY BEAR afiliada a SVR fue identificada como el grupo con el mayor número total de herramientas utilizadas. También se observó a Turla y COZY BEAR utilizando una variedad de herramientas y plataformas.
El análisis revela que múltiples grupos de amenazas rusos dependen en gran medida de los OST públicos. Se han registrado hasta 27 herramientas diferentes. Las herramientas más comúnmente compartidas entre estos grupos son:
Mimikatz: Utilizado por COZY BEAR, FANCY BEAR, BERSERK BEAR, Gamaredon y Turla. Paquete: Utilizado en COZY BEAR, FANCY BEAR, EMBER BEAR, Sandworm, BERSERK BEAR. PsExec: Utilizado por COZY BEAR, EMBER BEAR, BERSERK BEAR, Gamaredon y Turla. Metasploit: Utilizado por FANCY BEAR, EMBER BEAR, Sandworm y Turla. ReGeorg: Utilizado específicamente por COZY BEAR, FANCY BEAR, EMBER BEAR y Sandworm. ReGeorg, una utilidad de túnel de red, se destaca particularmente por su uso por parte de múltiples grupos de amenazas rusos y su rareza entre las bandas de ransomware.
Al identificar estas herramientas, los defensores pueden determinar si un grupo amenazador respaldado por el gobierno ruso realizó la intrusión.
Por ejemplo, ReGeorg y otras herramientas clave aumentan la probabilidad de que grupos de amenazas rusos estén involucrados.
Esta matriz de herramientas es un recurso fundamental para los profesionales de la ciberseguridad, los equipos de respuesta a incidentes y los equipos gestionados de detección y respuesta.
Comprender las herramientas y tácticas utilizadas por los grupos APT rusos puede ayudar a las organizaciones a protegerse más eficazmente de estos adversarios persistentes.
Puntos importantes:
Grupos APT rusos: la matriz de herramientas incluye grupos de amenazas afiliados a GRU, SVR y FSB. Herramientas comunes: Mimikatz, Impacket, PsExec, Metasploit, ReGeorg son comúnmente utilizadas por múltiples grupos de amenazas rusos. ReGeorg: una utilidad de túnel de red comúnmente utilizada por los grupos de amenazas rusos, aunque poco común entre las bandas de ransomware. Defensa proactiva: Tool Matrix aprovecha la reutilización de herramientas por parte de los grupos APT rusos para ayudar a los defensores a detectar y bloquear intrusiones.
Al aprovechar esta matriz de herramientas, los profesionales de la seguridad cibernética pueden fortalecer sus estrategias de defensa y mitigar la amenaza que representan los grupos APT rusos.
¿Es usted parte de un equipo SOC/DFIR? – Pruebe el análisis avanzado de malware y phishing con ANY.RUN – Prueba gratuita de 14 días
