Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
MITRE ATT&CK - Инструмент XTunnel
Каталоги
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Риски
Каталоги
MITRE ATT&CK
Инструмент
XTunnel
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

XTunnel

XTunnel a VPN-like network proxy tool that can relay traffic between a C2 server and a victim. It was first seen in May 2013 and reportedly used by APT28 during the compromise of the Democratic National Committee. (Citation: Crowdstrike DNC June 2016) (Citation: Invincea XTunnel) (Citation: ESET Sednit Part 2)
ID: S0117
Associated Software: Trojan.Shunnael X-Tunnel XAPS
Type: MALWARE
Platforms: Windows
Version: 2.1
Created: 31 May 2017
Last Modified: 21 Mar 2020

Associated Software Descriptions
Name Description
Trojan.Shunnael (Citation: Symantec APT28 Oct 2018)
X-Tunnel (Citation: Crowdstrike DNC June 2016)(Citation: Symantec APT28 Oct 2018)
XAPS (Citation: ESET Sednit Part 2)

Techniques Used
Domain ID Name Use
Enterprise T1059 .003 Command and Scripting Interpreter: Windows Command Shell

XTunnel has been used to execute remote commands.(Citation: Crowdstrike DNC June 2016)
Enterprise T1573 .002 Encrypted Channel: Asymmetric Cryptography

XTunnel uses SSL/TLS and RC4 to encrypt traffic.(Citation: Invincea XTunnel)(Citation: ESET Sednit Part 2)
Enterprise T1027 .001 Obfuscated Files or Information: Binary Padding

A version of XTunnel introduced in July 2015 inserted junk code into the binary in a likely attempt to obfuscate it and bypass security products.(Citation: ESET Sednit Part 2)
Enterprise T1552 .001 Unsecured Credentials: Credentials In Files

XTunnel is capable of accessing locally stored passwords on victims.(Citation: Invincea XTunnel)

Groups That Use This Software
ID Name References
G0007 APT28

(Citation: ESET Sednit Part 3) (Citation: Symantec APT28 Oct 2018) (Citation: US District Court Indictment GRU Oct 2018) (Citation: Secureworks IRON TWILIGHT Active Measures March 2017)

References

  1. Alperovitch, D.. (2016, June 15). Bears in the Midst: Intrusion into the Democratic National Committee. Retrieved August 3, 2016.
  2. Belcher, P.. (2016, July 28). Tunnel of Gov: DNC Hack and the Russian XTunnel. Retrieved August 3, 2016.
  3. ESET. (2016, October). En Route with Sednit - Part 2: Observing the Comings and Goings. Retrieved November 21, 2016.
  4. Symantec Security Response. (2018, October 04). APT28: New Espionage Operations Target Military and Government Organizations. Retrieved November 14, 2018.
  5. ESET. (2016, October). En Route with Sednit - Part 3: A Mysterious Downloader. Retrieved November 21, 2016.
  6. Brady, S . (2018, October 3). Indictment - United States vs Aleksei Sergeyevich Morenets, et al.. Retrieved October 1, 2020.
  7. Secureworks CTU. (2017, March 30). IRON TWILIGHT Supports Active Measures. Retrieved February 28, 2022.
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.