Raccolta e analisi di report relativi a diversi gruppi APT e campagne ransomware, svolta come progetto per il corso di Software Security all’Università di Napoli.
Questo dataset include vari report su minacce avanzate e gruppi cybercriminali.
Partecipanti: Riziero Graziani, Stefano Angelo Riviello, Andrea Esposito
Per ogni APT analizzato sono stati considerati i seguenti aspetti:
-
Vulnerabilità sfruttate: identificazione tramite CVE, punteggio di gravità CVSS, categorizzazione CWE, prodotti vulnerabili tramite CPE, probabilità di sfruttamento con EPSS, e inclusione nella lista KEV delle vulnerabilità note come attivamente sfruttate. È stato inoltre utilizzato il progetto CVSS-BT per l’arricchimento dei dati.
-
Cronologia della vulnerabilità: per ogni vulnerabilità è indicata la data di divulgazione pubblica, la disponibilità di patch, e l’evoluzione delle analisi e mitigazioni nel tempo, distinguendo tra zero-day e vulnerabilità già note.
-
Tecniche MITRE ATT&CK: mappatura delle principali tattiche e tecniche utilizzate dagli attaccanti, come Lateral Movement, Privilege Escalation, Initial Access, Execution, e altre a seconda del caso.
-
Strumenti e tool: elenco dei principali strumenti utilizzati dagli attaccanti, come RAT (Remote Access Trojan), strumenti di escalation dei privilegi ed exploit kit specifici.
-
Prodotti vulnerabili: specifica della tipologia (sistemi operativi, software o hardware), versioni coinvolte e distribuzione dell’impatto.
-
Altri elementi utili: indicazione di IOC (Indicators of Compromise) come IP, hash, domini o URL, utili per l’identificazione di attività malevole, e descrizione di eventuali simulazioni di laboratorio eseguibili per replicare l’attacco.
Di seguito mostriamo i documenti utilizzati per le nostre analisi.
| Title | Document | Identifier |
|---|---|---|
| THE DUKES 7 YEARS OF RUSSIAN CYBERESPIONAGE | F-Secure_Dukes_Whitepaper.pdf | DUKES |
| Title | Document | Identifier |
|---|---|---|
| CARBANAK APT THE GREAT BANK ROBBERY | Carbanak_APT_eng.pdf | KASPERSKY2 |
| Title | Document | Identifier |
|---|---|---|
| More_eggs, Anyone? Threat Actor ITG08 Strikes Again | FIN6-SecurityIntelligence_9.pdf | SECURITYINTELLIGENCE9 |
| Title | Document | Identifier |
|---|---|---|
| Profile of an Adversary – FIN7 | Profile of an Adversary - FIN7 _ Deepwatch.pdf | DEEPWATCH |
| Title | Document | Identifier |
|---|---|---|
| APT34: The Helix Kitten Cybercriminal Group Loves to Meow Middle Eastern and International Organizations | APT34 The Helix Kitten Cybercriminal Group Loves to Meow Middle Eastern and International Organizations.pdf | CYWARE |
| Title | Document | Identifier |
|---|---|---|
| CRASHOVERRIDE Analysis of the Threat to Electric Grid Operations | CrashOverride.pdf | CRASHOVERRIDE |
| Title | Document | Identifier |
|---|---|---|
| Ransomware Roundup - Black Basta | Ransomware Roundup - Black Basta _ FortiGuard Labs.pdf | FortiGuard Labs |
| Title | Document | Identifier |
|---|---|---|
| Conti Leaks | ContiLeaks.pdf | Forescout |
Questo progetto si basa e approfondisce il lavoro svolto dai nostri colleghi Sofia Della Penna e Lorenzo Parracino con il progetto basato su CTI-HAL. Per maggiori dettagli sulla loro ricerca, si rimanda alla repository CTI-HAL e al paper: CTI-HAL: A Human-Annotated Dataset for Cyber Threat Intelligence Analysis.