APT29 (Cozy Bear) залишається однією з найактивніших кіберрозвідувальних груп, пов’язаних із російськими спецслужбами. Їхній підхід побудований не на “швидких” атаках, а на довготривалому доступі, роботі з обліковими даними та поступовому закріпленні всередині інфраструктури.
У звіті розбирається типовий ланцюг атаки APT29 — від OSINT-збору, фішингової доставки та шкідливих RDP/HTML-файлів до компрометації Azure AD, закріплення через service principal та подальшої роботи з Office 365 і хмарними середовищами. Окремо розглядаються техніки, які регулярно фігурують у кампаніях останніх років: DLL sideloading, HTML smuggling, викрадення OAuth-токенів, MFA fatigue та domain fronting.
Матеріал також включає: — сімейства шкідливого ПЗ та їхню функціональність — інфраструктурні патерни та індикатори компрометації — поведінкові індикатори для виявлення та threat hunting — підходи до виявлення активності в Active Directory, endpoint-інфраструктурі та Azure AD — рекомендації щодо зменшення ризиків для cloud-first організацій Окремий акцент зроблено на тому, що значна частина сучасних атак уже будується не навколо самого malware, а навколо цифрових ідентичностей, доступу до хмарних середовищ та довіри між сервісами. У багатьох випадках саме слабкі MFA-політики, застарілі механізми автентифікації та недостатній моніторинг хмарної активності стають точкою входу для компрометації.