Ο APT28 καταγράφεται στο MITRE ATT&CK με αναγνωριστικό G0007 και παρακολουθείται με δραστηριότητα που αποδίδεται στη χώρα: Ρωσία. Η δράση του εστιάζει σε στρατηγική κατασκοπεία, πολιτική επιρροή και δολιοφθορά, στοχεύοντας κυρίως Εκπαίδευση, Ενέργεια, Δημόσιος τομέας, Υγεία. Στις δημόσιες πηγές αναφέρεται επίσης ως IRON TWILIGHT, SNAKEMACKEREL, Swallowtail, Group 74, Sednit, Sofacy, Pawn Storm, Fancy Bear, STRONTIUM, Tsar Team, Threat Group-4127, TG-4127, Forest Blizzard, FROZENLAKE, GruesomeLarch. Επίπεδο πολυπλοκότητας: προηγμένο, κρατικά υποστηριζόμενο. Σχετίζεται με 12 γνωστά CVEs (εκ των οποίων 4 κρίσιμα).
Τεχνική συμπεριφορά και TTPs
Με βάση τη δημόσια καταγραφή στο MITRE ATT&CK (G0007), στις κυριότερες τεχνικές του APT28 περιλαμβάνονται:
- T1134 – Access Token Manipulation: Token Impersonation/Theft
- T1098 – Account Manipulation: Additional Email Delegate Permissions
- T1583 – Acquire Infrastructure: Domains
- T1595 – Active Scanning: Vulnerability Scanning
- T1557 – Adversary-in-the-Middle: Evil Twin
- T1071 – C2 πάνω σε νόμιμα πρωτόκολλα εφαρμογής (HTTP/HTTPS, DNS)
- T1560 – συμπίεση/κρυπτογράφηση δεδομένων πριν την exfiltration
- T1119 – Automated Collection
Συνδεδεμένα εργαλεία και malware
- ADVSTORESHELL (S0045)
- Cannon (S0351)
- certutil (S0160)
- CHOPSTICK (S0023)
- cipher.exe (S1205)
- CORESHELL (S0137)
- Wevtutil
- Net
Γιατί αφορά ελληνικούς και ευρωπαϊκούς οργανισμούς
Σε οργανισμούς με υποχρεώσεις NIS2, DORA και GDPR, η ύπαρξη ενός actor όπως ο APT28 καθιστά αναγκαία τη συγκεκριμένη χαρτογράφηση αμυντικών ελέγχων σε ATT&CK techniques. Η ελληνική αγορά —ιδίως τράπεζες, ενέργεια, ναυτιλία, τηλεπικοινωνίες και κρίσιμες υποδομές— παραμένει στόχος ευρύτερων εκστρατειών που τέμνουν τους τομείς Εκπαίδευση, Ενέργεια, Δημόσιο τομέα, Υγεία. Η αλυσίδα εφοδιασμού (supply chain) αυξάνει την έκθεση ακόμα και όταν η οργάνωση δεν είναι στον αρχικό κύκλο στόχευσης του actor.
Από το προφίλ στην πράξη
Τα στοιχεία για κάθε adversary group συγκεντρώνονται από εκατοντάδες πηγές threat intelligence και περνούν από διασταύρωση και επιβεβαίωση πριν καταγραφούν ώστε κάθε τεχνική, εργαλείο και δείκτης που αποδίδεται στον actor να αντικατοπτρίζει επιβεβαιωμένη συμπεριφορά και όχι μεμονωμένες ή ανεπιβεβαίωτες αναφορές.
Διατηρούμε αυτά τα επιβεβαιωμένα προφίλ APT και τα αξιοποιούμε για να σχεδιάζουμε και να εκτελούμε adversary simulations με ακρίβεια στα συστήματα των πελατών μας. Αν διαθέτετε SOC, SIEM ή EDR, ο μόνος τρόπος να επαληθεύσετε αν η άμυνά σας δουλεύει είναι να τη δοκιμάσετε: το προφίλ μετατρέπεται σε ελεγχόμενα σενάρια επίθεσης, προσαρμοσμένα στην υποδομή σας, ώστε να δείτε στην πράξη τι ανιχνεύεται και τι περνά απαρατήρητο.
Δείτε την βιβλιοθήκη με όλους τους threat actors που έχουμε συγκεντρώσει
Θέλετε να επικυρώσετε την ασφάλειά σας στην πράξη;
Η Audax αποδεικνύει το ρίσκο με πραγματικά σενάρια επίθεσης — όχι απλώς λίστες ελέγχου.
Ζητήστε δωρεάν αξιολόγηση →