T1608
Stage Capabilities
武器の集結

ID Name
T1608.001 Upload Malware
T1608.002 Upload Tool
T1608.003 Install Digital Certificate
T1608.004 Drive-by Target
T1608.005 Link Target
T1608.006 SEO Poisoning

Adversaries may upload, install, or otherwise set up capabilities that can be used during targeting. To support their operations, an adversary may need to take capabilities they developed (Develop Capabilities) or obtained (Obtain Capabilities) and stage them on infrastructure under their control. These capabilities may be staged on infrastructure that was previously purchased/rented by the adversary (Acquire Infrastructure) or was otherwise compromised by them (Compromise Infrastructure). Capabilities may also be staged on web services, such as GitHub or Pastebin, or on Platform-as-a-Service (PaaS) offerings that enable users to easily provision applications.[1][2][3][4][5]

攻撃者は、攻撃に使用する武器をアップロード、インストール、またはその他の方法でセットアップすることができます。攻撃者の作戦をサポートするために、攻撃者は、開発した能力 (Develop Capabilities) または入手した武器(Obtain Capabilities) を、彼らの管理下にあるインフラストラクチャに設定する必要があります。これらの武器は、攻撃者が以前に購入/レンタルした(Acquire Infrastructure)、またはその他の方法で攻撃者が侵害した(Compromise Infrastructure)インフラストラクチャ上に配置される場合があります。また、GitHub や Pastebin などのウェブサービスや、ユーザーが簡単にアプリケーションをプロビジョニングできる Platform-as-a-Service (PaaS) サービス上に構築されることもあります。


Staging of capabilities can aid the adversary in a number of initial access and post-compromise behaviors, including (but not limited to):

武器の配置は、最初のアクセスや侵害後の行動において、攻撃者の手助けとなります。

  • ユーザーがサイトを閲覧する際に、ドライブバイ・コンプロマイズを行うために必要なWebリソースの配置[6][7][8]。
  • スピアフィッシングで使用するリンクターゲットのためのウェブリソースの配置[9][10]。
  • 内部へのツール転送を可能にするために、被害ネットワークからアクセス可能な場所にマルウェアやツールをアップロード[1]。
  • コマンド&コントロールトラフィックの暗号化に使用するため、事前に取得したSSL/TLS証明書をインストール(例:Asymmetric Cryptography with Web Protocols)[11] 。
ID: T1608
Sub-techniques:  T1608.001, T1608.002, T1608.003, T1608.004, T1608.005, T1608.006
Platforms: PRE
Version: 1.2
Created: 17 March 2021
Last Modified: 19 October 2022

Procedure Examples

ID Name Description
G0129 Mustang Panda

Mustang Panda has used servers under their control to validate tracking pixels sent to phishing victims.[12]

Mitigations

ID Mitigation Description
M1056 Pre-compromise

This technique cannot be easily mitigated with preventive controls since it is based on behaviors performed outside of the scope of enterprise defenses and controls.

Detection

ID Data Source Data Component Detects
DS0035 Internet Scan Response Content

If infrastructure or patterns in malware, tooling, certificates, or malicious web content have been previously identified, internet scanning may uncover when an adversary has staged their capabilities.Much of this activity will take place outside the visibility of the target organization, making detection of this behavior difficult. Detection efforts may be focused on related stages of the adversary lifecycle, such as initial access and post-compromise behaviors.
マルウェア、ツール、証明書、悪意のあるWebコンテンツなどのインフラやパターンが事前に特定されている場合、インターネットスキャンによって、攻撃者がその能力を発揮するタイミングを発見できるかもしれません。このような行動の多くは、標的組織の見えないところで行われるため、このような行動の検出は困難です。検出の取り組みは、初期アクセスや侵害後の行動など、攻撃者のライフサイクルの関連する段階に集中することになるでしょう。

References

  1. Adair, S. and Lancaster, T. (2020, November 6). OceanLotus: Extending Cyber Espionage Operations Through Fake Websites. Retrieved November 20, 2020.
  2. Kent Backman. (2021, May 18). When Intrusions Don’t Align: A New Water Watering Hole and Oldsmar. Retrieved August 18, 2022.
  3. Jérôme Segura. (2019, December 4). There's an app for that: web skimmers found on PaaS Heroku. Retrieved August 18, 2022.
  4. Ashwin Vamshi. (2019, January 24). Targeted Attacks Abusing Google Cloud Platform Open Redirection. Retrieved August 18, 2022.
  5. Ashwin Vamshi. (2020, August 12). A Big Catch: Cloud Phishing from Google App Engine and Azure App Service. Retrieved August 18, 2022.
  6. Kindlund, D. (2012, December 30). CFR Watering Hole Attack Details. Retrieved December 18, 2020.
  1. Gallagher, S.. (2015, August 5). Newly discovered Chinese hacking group hacked 100+ websites to use as “watering holes”. Retrieved January 25, 2016.
  2. Blasco, J. (2014, August 28). Scanbox: A Reconnaissance Framework Used with Watering Hole Attacks. Retrieved October 19, 2020.
  3. Malwarebytes Threat Intelligence Team. (2020, October 14). Silent Librarian APT right on schedule for 20/21 academic year. Retrieved February 3, 2021.
  4. Proofpoint Threat Insight Team. (2019, September 5). Threat Actor Profile: TA407, the Silent Librarian. Retrieved February 3, 2021.
  5. DigiCert. (n.d.). How to Install an SSL Certificate. Retrieved April 19, 2021.
  6. Raggi, M. et al. (2022, March 7). The Good, the Bad, and the Web Bug: TA416 Increases Operational Tempo Against European Governments as Conflict in Ukraine Escalates. Retrieved March 16, 2022.

連絡先:@amj_trans

 

MITRE ATT&CK 日本語化プロジェクト