OCR of the Document

View the Document >>

CISA, Alert, "Russian State Sponsored Cyber Actors," February 16, 2022

01ÿ34456578ÿ9 5 ÿ34ÿ ÿ 15 ÿ 7 ÿ 3 1 1 ÿ ÿ 39ÿ 3 ÿ 139ÿ V #$% ÿ % Alert AA22-047A Russian State-Sponsored Cyber Actors Target etearea Oefense Contractor Networks to Obtain Sensitive t J S Oefense Information ana Technology %- - 0 ÿ% 0 ÿ10 ÿ2 3%40%5ÿ678ÿ9 99 4 0%5 ÿ $% ÿ 4 - 0 $%ÿ04 @ - 0 -$ Aÿ ÿ $% ÿ %$ 8ÿ4 -B4 ÿC0 D$%1 Aÿ ÿ 03 ÿ#E7FG - - 1ÿ 41- ÿ $ Aÿ ÿ C 1C$- ÿ1 -$ ÿ0 1ÿ% C$ ÿ $$ A ÿ 2%$ ÿ0 ÿ 0 ÿH0 40%5ÿ9 9 8ÿ @%$4 @ÿ2 3%40%5ÿ9 998ÿ @ ÿ2 1 %0 ÿI4% 04ÿ$ ÿ J - 0 -$ K2I L8ÿM0 -$ 0 ÿ 4%- 5ÿ 5ÿKM L8ÿ0 1ÿN53 % 4%- 5ÿ0 1ÿ %0 %4 4% ÿ 4%- 5 5ÿKN Lÿ@0J ÿ$3 %J 1ÿ% 4 0%ÿ 0% - ÿ$ ÿGA Aÿ 0% 1ÿ1 ÿ $ %0 $% ÿKNON L 35ÿP4 -0 ÿ 0 Q C$ $% 1ÿ 53 %ÿ0 $% Aÿ @ ÿ0 $% ÿ@0J ÿ 0% 1ÿ3$ @ÿ 0% ÿ0 1ÿ 0 NON ÿ0 1ÿ 43 $ %0 $% ÿD- @ÿJ0%5- ÿ J ÿ$ ÿ 53 % 4%- 5ÿC%$ $ $ ÿ0 1ÿ% $4% A @ ÿNON ÿ 4CC$% ÿ $ %0 ÿ $%ÿ @ ÿGA AÿO C0% ÿ$ ÿO ÿKO$OLÿ0 1ÿ - N$ 4 - 5ÿ- ÿ @ ÿ $ $D- ÿ0% 0 ÿ $ %$ 8ÿ $ 4 - 0 -$ 8ÿ0 1ÿ $ 30 ÿ 5 R • N$ 0 18 - 8ÿ 4%J - 0 8ÿ% $ 0- 0 8ÿ0 1ÿ 0% - R • 0 1ÿ - - ÿ1 J $C R • 0C$ ÿ ÿ0 1ÿ0-% %0Tÿ1 - Rÿ0 1 • S @ ÿ1 J $C 8ÿ10 0ÿ0 0 5 - 8ÿ $ C4 % 8ÿ0 1ÿ $ - - Aÿ • $TD0% - $%- 0 58ÿP4 -0 ÿ 0 Q C$ $% 1ÿ 53 %ÿ0 $% ÿ@0J ÿ4 1ÿ $ $ ÿ34 ÿ V -J ÿ 0 - $ÿ 0- ÿ0 ÿ $ÿ 0% ÿ D$%W 8ÿ- 41- ÿ C 0%C@- @- 8ÿ % 1 -0 ÿ@0%J - 8ÿ3%4 $% XC0 D$%1ÿ C%05ÿ @ -B4 8ÿ0 1ÿW $D ÿJ4 %03- - 5ÿ YC $- 0 -$ ÿ0 0- ÿ0 $4 0 1ÿ D$%W ÿD- @ÿD 0Wÿ 4%- 5Aÿ @ ÿ0 $% ÿ 0W ÿ01J0 0 ÿ$ ÿ - C ÿC0 D$%1 8 4 C0 @ 1ÿ 5 8ÿ0 1ÿ4 4 C - ÿ C $5 ÿ $ÿ 0- ÿ- - -0 ÿ0 ÿ3 $% ÿ $J- 0 %0 5ÿ @%$4 @ÿ @ ÿ D$%Wÿ $ÿ 03 - @ÿC % - ÿ0 1ÿ Y - %0 ÿ10 0Aÿ 68ÿ 8 ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ 8 012345607 ÿ ÿ 8 ÿ 8 ÿ ÿ8 ÿ 8 ÿ ÿ ÿ 8 ÿ ÿ ÿ ÿ #$ÿ% #$ ÿ 8 8 8 'ÿ0 ÿ ÿ 8ÿ 8 8ÿ 8 ÿ ÿ 8 ÿ 8 ÿ 8 ÿ ÿ ÿ ÿ ÿ 8ÿ 8 ÿ ÿ 8 ÿ ' 0 ÿ 8 8 ÿ 8 8 ÿ ÿ 8 ÿ ÿ ÿ ÿ ÿ 8 ÿ 8 8 8 ÿ ÿ ÿ ÿ - ÿ 8 ÿ 8 ÿ 8 'ÿ0 ÿ 8 8ÿ ÿ 8 8 ÿ 8 ÿ 8 ÿ '0'ÿ 8 ÿ ÿ 8 ÿ 8 8 ÿ 8 ÿ ÿ 8 ÿ 8 ÿ 8 ÿ ÿ 8 8 ÿ 8 8 ÿ 8 8ÿ 8 'ÿ1 ÿ 8 ÿ ÿ 8 8 ÿ 8 ÿ 8 ÿ 8 8 ÿ ÿ ÿ ÿ ÿ ÿ 2 ÿ ÿ 8ÿ ÿ 8 ÿ 8 ÿ 8ÿ 8 ÿ 8 ÿ ÿ 8 ÿ 8ÿ ÿ ÿ '0'ÿ 8 8 8 8 ÿ ÿ 8 ÿ ÿ ÿ 8 'ÿ3 8ÿ ÿ 8 ÿ ÿ 8 8ÿ ÿ 8ÿ 8 ÿ - ÿ8 ÿ ÿ416 ÿ506 ÿ 8 ÿ 606ÿ 8 ÿ ÿ7 8 8 ÿ ÿ ÿ ÿ 8 8 ÿ ÿ ÿ - ÿ ÿ '0'ÿ 8 ÿ 8 8ÿ 8 ÿ8 ÿ 'ÿ0 ÿ 8 ÿ 8 ÿ ÿ - ÿ ÿ ÿ ÿ 8 ÿ 8 8ÿ ÿ ÿ ÿ ÿ 8 ÿ ÿ ' 4 ÿ 8 ÿ 8 8ÿ 8ÿ7 8ÿ 8 ÿ ÿ ÿ ÿ 6068 ÿ 7 ÿ ÿ0 ÿ9 ÿ 8 ÿ6 ' ÿ ÿ ÿ ÿ2-4ÿ 8ÿ ÿ ÿ ' 0 ÿ- Targetea lnltustfles ana Assessea Motive 7 8ÿ 8 ÿ ÿ ÿ ÿ ÿ '0'ÿ - ÿ ÿ ÿ ÿ 8 ÿ ÿ4 ÿ 'ÿ0 ÿ ÿ ÿ ÿ ÿ - ÿ8 ÿ ÿ 8ÿ 8 ÿ ÿ '0'ÿ 8 ÿ 8 ÿ 8 8 ÿ ÿ 8 ÿ 'ÿ ÿ 8 ÿ 8 ÿ - ÿ 8 ÿ ÿ '0'ÿ6 ÿ '0'ÿ6 ÿ4 ÿ '0'ÿ5 ÿ '0'ÿ0 ÿ4 8 ÿ- -ÿ 8 ÿ68 8 ÿ ' - 8 ÿ ÿ ÿ ÿ ÿ ÿ ÿ 8 8 ÿ 8 ÿ ÿ ÿ - ÿ8 ÿ 8ÿ ÿ ÿ ÿ ÿ ÿ ÿ 8 'ÿ68ÿ 8 8 ÿ 8ÿ ÿ ÿ ÿ 8 ÿ ÿ ÿ416 ÿ506 ÿ 8 ÿ 606ÿ ÿ8 ÿ ÿ 8 ÿ 8 8ÿ ÿ ÿ 8 ÿ 'ÿ4 ÿ ÿ 8 ÿ ÿ ÿ 8ÿ ÿ ÿ ÿ 8 ÿ ÿ 8 ÿ ÿ ÿ ÿ 8 ÿ ÿ 8 ÿ ÿ 8 ÿ 8 ÿ 8 8 ÿ 88 ÿ 8 ÿ ÿ ' 0 ÿ ÿ 8 8 ÿ ÿ ÿ ÿ ÿ ÿ 8 ÿ - 8 ÿ 8 ÿ 8 8'ÿ0 ÿ ÿ ÿ 8 ÿ ÿ ÿ 8 8 ÿ 8 ÿ 8 '0'ÿ 8 ÿ ÿ 8 ÿ 8 ÿ 8 ÿ 8 ÿ 8 ÿ 8 8 ÿ 8 ÿ 8 ÿ ÿ 8 ÿ ÿ ÿ ÿ '0' 8 8 ÿ 8 ÿ 'ÿ6 ÿ 8 ÿ 8 ÿ ÿ 8 ÿ 8 ÿ ÿ ÿ ÿ 8 ÿ 8 ÿ 8 8 ÿ 8 ÿ 8 8 ÿ 8 012345607 89 8 9 ÿ 88 9 ÿ9 8ÿ ÿ9 998ÿ ÿ ÿ 9 9 ÿ 8 9 8ÿ 9 ÿ 9 ÿ 9 8ÿ ÿ 9 ÿ ÿ8 9 ÿ 989 ÿ ÿ ÿ ÿ 98ÿ ÿ ÿ8 898 ÿ 99ÿ 98ÿ#ÿ ÿ$ÿ ÿ ÿ ÿ 9 9 8 9 8 ÿ 8 98 ÿ ÿ ÿ I Weapons and Missile Development Vehicle and Aircraft Design @ W •• Software Deve lopment and Information Technology Data Analytics Logistics 9ÿ# ÿ0 9 9 ÿ6 8 98 ÿ Email Communications I I I 012345607 Contract Details ÿ Product Development Tests and Timelines Foreign Partnerships Funding 9ÿ$ ÿ7' 9 ÿ6 Threat Actor Activity ÿ0 8ÿ 8 ÿ 898ÿ 9ÿ 60 7ÿ 00 - ÿ ÿ7 9 89ÿ 9 ÿ 9 8 ÿ#0 ÿ 99ÿ 9 00 -ÿ ÿ7 9 89ÿ ÿ ÿ 9 9 9 9 ÿ 9 ÿ ÿ 8ÿ ÿ 9 1 98 ÿ 99ÿ 9 0 8 ÿ09 1 98 ÿ ÿ2 9 98ÿ200283ÿ89 ÿ ÿ ÿ 9ÿ ÿ 9ÿ 9 ÿ 84ÿ 9 ÿ ÿ 60 7ÿ 00 -ÿ 8ÿ ÿ 9 1 98 Note Initial Access 88 ÿ8 958 8 9 ÿ 9 ÿ 8ÿ 89ÿ 9ÿ 9ÿ 9 8 ÿ8 9 8 ÿ 98 9 9 9 8 ÿ ÿ ÿ 9 98ÿ ÿ ÿ ÿ 988ÿ ÿ 6 ÿ 9 8 9 ÿ 8ÿ 89ÿ 9ÿ 9ÿ 9 1 98ÿ70###08ÿ ÿ 9 ÿ ÿ ÿ 9 9 8 • 0 70#9 00#8ÿ ÿ ÿ ÿ 9ÿ 8 ÿ 9 ÿ ÿ ÿ 9 9 8 ÿ 9 8ÿ 89ÿ 9 ÿ ÿ ÿ ÿ 988ÿ ÿ 9ÿ 9 8 ÿNote ÿ ÿ 9ÿ ÿ899 ÿ 5 @65 6 ÿ 9 89 ÿ 8 3ÿ 88 ÿA ÿ ÿA ÿ@ 9ÿ 9 ÿ ÿ 89ÿ7 9 89ÿ ÿ ÿ7 9 8 9 ÿ 8ÿ89 ÿ8 9 8 ÿ9 8ÿ ÿ 8ÿ ÿ 8ÿ 8ÿ70#9 00$8 • 0 ÿ 89ÿ ÿ 9ÿ 1ÿ8 9 ÿ89 98ÿ ÿ 8 ÿ 9ÿ ÿ70#0$B8 7 9 ÿ8 9 9 ÿ 18ÿ 8 9 ÿ ÿ 5 9 ÿ 8ÿ 8ÿ 8ÿ 012345607 • • 89 8 ÿ ÿ ÿ 8ÿ9 ÿ ÿ ÿ ÿ ÿ 88 ÿ0 ÿ 012345607 8 ÿ 8 8 ÿ ÿ ÿ ÿ 8ÿ ÿ ÿ ÿ ÿ ÿ 89 9 ÿ8 ÿ ÿ ÿ8 ÿ ÿ ÿ 0 ÿ ÿ 8 ÿ ÿ ÿ ÿ ÿ 8 $ 8 ÿ% ÿ 8% ÿ 9 8 ÿ ' ÿ 7 - ÿ ÿ 7 0 11 8 ÿ 9 ÿ 8 20 0 ÿ0 3 4ÿ ÿ ÿ ÿ ÿ %8 ÿ5 26 7ÿ 8ÿ ÿ ÿ ÿ 8 ÿ 8 ÿ ' 8 ÿ58 77ÿ8 ÿ ÿ ' 8 ÿ 8 2 4ÿ6 ÿ 8 ÿ ÿ 8 ÿ ' 8 ÿ 7 9903ÿ8 ÿ 8 ÿ 8ÿ89 ÿ ÿ 8ÿ %8 ÿ ÿ ÿ ÿ ÿ ÿ 8% ÿ 9 ÿ8 ÿ ÿ %8 ÿ ÿ 8 ÿ ÿ ÿ 8ÿ ÿ %ÿ ÿ8 ÿ ÿ0 ÿ ÿ ÿ ÿ 8 ÿ ÿ 8 ÿ 8 % ÿ 9 ÿ ÿ8 8 ÿ ÿ 8 8 ÿ ÿ ÿ ÿ Credential Access ÿ ÿ ÿ 8ÿ %8 ÿ ÿ ÿ 8 ÿ ÿ ÿ ÿ 8 ÿ5 7ÿ 8 ÿ 8ÿ 8 ÿ 8 8 ÿ 8 ÿ% ÿ ÿ ' ÿ ÿ ÿ ' 8 ÿ 8 ÿ8 ÿ ÿ 9 ÿ @A B ÿ20 9 94 ÿ6 ÿ ÿ ÿ ÿ ÿ 8 ÿ ÿ C Dÿ 8ÿ ÿ ÿ ÿ 8 ÿ ÿ 8 ÿ 8 8 ÿ Collection E ÿ 8 8 ÿC9-Fÿ ÿ ÿ 89 ÿ ÿ 8 ÿ ÿ ÿ 8 ÿ ÿ ÿ 8ÿC9-Fÿ 8 ÿ ÿG 28 ÿ ÿ20 9 4ÿ ÿ 8 ÿ ÿ ÿ20 1 4 Command and Control 0 ÿ ÿ 8 ÿ 8 ÿ ÿ ÿ ÿ ÿ5 2G 7ÿ ÿ ÿ ÿ 8' ÿ0 8 ÿ ÿ 2G ÿ ÿ% ÿ ÿ ÿ8H ÿ ÿ 8 ÿ8H ÿ5GI5I7ÿ ÿ ÿ8 8 8 ÿ 8ÿ ÿ 8 ÿ20 3 94 Persistence 6 ÿ ÿ ÿ ÿ ÿ 8 ÿ ÿ ÿ ÿ 8 ÿ ÿ ÿ ' 8 ÿ 8 ÿ ÿ 8 ÿ ÿ ÿ ÿ ÿ8 ÿ % ÿ 8ÿ ÿ ÿ J6ÿ6G ÿ ÿ 6G ÿ ÿ 8ÿ89 ÿ 8 ÿ ÿ ÿ 8 ÿ ÿ8 ÿ % ÿ8 ÿ8 ÿ ÿ6 ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ 8 ÿ ÿ8 ÿ 8 8 ÿ8 ÿ ÿ 8 ÿ ÿ20 0 4ÿ 9 ÿ ÿ 8ÿ 8 ÿ 8ÿ8 ÿ 8 ÿ ÿ 8ÿ ÿ ÿ 8ÿ ÿ 8 8 ÿ 8 Tactics TeeHniques ana Proeeaures 0 ÿ 8 8% ÿ 9 ÿ ÿ89 ÿ8 ÿ 8 8 ÿ 9 ÿ ÿ 8ÿ ÿC6087 00K Lÿ 8 ÿ7 ÿ %8 ÿG ÿ8 ÿ ÿ ÿ ÿ ÿ ÿ 9 ÿ ÿ9 8 ÿ89 ÿ 8 ÿ ÿ 8 ' ÿ8 ÿ0 8 ÿ 8 ÿ8 ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ 8 ÿ ÿ 8 ÿ ÿ8 ÿG ÿ 'ÿ ÿ 8 ÿ ÿ 8 012345607 89 ÿ ÿ002 ÿNote ÿ 9ÿ ÿ 9 9 ÿ9 ÿ ÿ ÿ 00 ÿ 012345607 ÿ ÿ7 9 9 ÿ# $ ÿ ÿ ÿ#60%7ÿ ' 7 ÿ ÿ 0 8 ÿ 3ÿ-8 9 ÿ0 ÿ0 ÿ ÿ29 9 ÿ 002 0 Tactic Technique Procedure Recon naissa nce T 1 9ÿ2 6 3ÿ6 9 A0043 3ÿ 9 ÿ 9ÿ ÿ ÿ#' 5ÿ ÿ40 56 0 9 ÿ ÿ 99 ÿ ÿ 8 ÿ8 9 $ ÿ ÿ 9 ÿ ÿ 9ÿ 3 ÿ ÿ ÿ ÿ 9 ÿ ÿ 9 ÿ ÿ ÿ$ ÿ ÿ ÿ Crede 7 88 9ÿ ntialA 9 ÿ 9 ÿ40 ccess 89 TA000 6 Initial Ac ess TA 0001 9 ÿ 9 ÿ ÿ ÿ9 9 ÿ 9 8 ÿ ÿ 9 ÿ 9 1 ÿ22 ÿ ÿ 7 9 ÿ% ÿ 0 $ÿ89 ÿ 9 ÿ ÿ ÿ 9 $ $ÿ 27@A8 6@ ''B7ÿ ÿ$ ÿ 9 ÿ ÿ ÿ 9 ÿ40 ''9 9 ÿ4A9 Initial ccess TA00 01 2 ÿ ÿ40 8B69 0 9 ÿ 9 ÿ ÿ 9 ÿ ÿ C ÿ ÿ ÿ 9 8 ÿ ÿ 8 @ $ÿ ÿ 9 ÿ 22 0D 27@A8A8@8 66ÿ ÿ 27@A8A8@ B EED ÿ2 8 ÿ ÿ ÿ9 $ÿ ÿ ÿ 9 ÿ $ ÿ 9ÿ 9 Privile 7 ÿ ÿ ÿ % 70ÿ ÿ ÿ ÿ ÿ4'9 $ÿ geEsc @ alatio ÿ40 789 n TA0 004 Initial ccess TA00 01 2 $3ÿ 9 $ÿ1 0 9 ÿ 9 ÿ ÿ 9 $ÿ ÿ $ÿ 8 3ÿ 8 ÿF%1ÿ 9 $ÿ 9 ÿ7 ÿ40 5 88A 8 $ÿ 9 ÿF%1 ÿ ÿ ÿ ÿ 9@ 9 ÿ ÿ ÿ ÿ ÿ 8 ÿ 9 ÿ ÿ ÿ ÿ83 ÿ 9 ÿ ÿ ÿ $ÿ ÿ0 ÿ ÿ ÿ 9 ÿ ÿ ÿ $ 3ÿ ÿ ÿ ÿ9 ÿ ÿ 9 83ÿ 9 ÿ ÿ 8 3ÿ ÿ ÿ Defen ÿ -8 ÿ ÿ ÿ ÿ seEva ÿ 9 ÿ 6 9 sion T ÿ40 8AB9 0005 012345607 echnique Procedure 9 ÿ 3ÿ 0 ÿ 0 0 ÿ # $ÿ # ÿ #ÿ ÿ $ÿ2 ÿ$ ÿ ÿ # ÿ #ÿ ÿ # ÿ # # $ ÿ # ÿ ÿ # ÿ- ÿ ÿ ÿ $ÿ ÿ # ÿ # $ÿ# ÿ ÿ ÿ 0 $ ÿ12345362 $3ÿ # ÿ # $ÿ 0 % ' 012345607 ÿ # $3ÿ # ÿ # $ÿ 0 % 7 6 ÿ# ÿ $ ÿ ÿ # $ÿ $ ÿ ÿ $ÿ# ÿ ÿ #0 ÿ ÿ # ÿ- ÿ ÿ9 ÿ $ ÿ # ÿ ÿ ÿ $$ # $ÿ# ÿ ÿ $ ÿ $ ÿ ÿ # ÿ6 ÿ # ÿ# # ÿ ÿ # ÿ # ÿ ÿ ÿ ÿ $$ÿ #ÿ ÿ 2# ÿ $ÿ ÿ ÿ # ÿ $ÿ- ÿ $ÿ ÿ # # ÿ8 $ ÿ # $ÿ ÿ ÿ 0# $ #$ # $3ÿ 2# ÿ 0 ' ' ÿ # $3ÿ # ÿ # $ÿ 0 % 6 ÿ# ÿ $ ÿ ÿ ÿ # $ÿ $ ÿ ÿ $ÿ #ÿ ÿ $ÿ # ÿ ÿ ' $ÿ $ ÿ ÿ$ $ 7 ÿ # # ÿ 0 7 012345607 echnique Procedure Persist nee 012345607 AOOO 9 ÿ9 ÿ ÿ 9 ÿ9 ÿ ÿ ÿ ÿ # ÿ # ÿ ÿ9 $ ÿ ÿ 89 ÿ ÿ 0 0 9 %ÿ # # ÿ9 ÿ ÿ9 ÿ ÿ ÿ ÿ9 ÿ9 ÿ ÿ ÿ#9 Latera 9 ÿ9 lMove ment AOOO ' ÿ9 ÿ $ ÿ 9 ÿ9 ÿ ÿ $ ÿ ÿ 9 ÿ9 ÿ ÿ- 5 ÿ ÿ#9ÿ ÿ ÿ %ÿ 0 % ÿ #9 ÿ0 ÿ 0 9 ÿ9 ÿ 9 ÿ #9 ÿ ÿ #9 ÿ ÿ 9 ÿ 9 ÿ$ ÿ ÿ ÿ % %ÿ 0 0 9 9 ÿ# # ÿ 2 1%3ÿ2 3 ÿ20 9 ÿ9 ÿ ÿ# ÿ 9 9 ÿ ÿ ÿ9 ÿ825 ÿ ÿ ÿ 96 ÿ ÿ ÿ 9 1%ÿ 0 4 ÿ 0 ÿ'-6 ÿ 5 ÿ9 ÿ765 ÿ ÿ9 ÿ7 7 ÿ ÿ 9 ÿ ÿ9 %ÿ ÿ ÿ 9 ÿ ÿ # ÿNote ÿ ÿ9 9 ÿ9 9 ÿ ÿ ÿ#9 ÿ %8 9 % ÿ ÿ9 ÿ9 %ÿ0 9 ÿ 9 ÿ ÿ ÿ9 ÿ # 9 ÿ29 % ÿ9 ÿ8%ÿ765 ÿ9 ÿ ÿ %8 %ÿ9 ÿ ÿ 9 9 ÿ79 9 9 ÿ $ 9 9 ÿ9 ÿ ÿ ÿ # Detect Unusual Activity ÿ 8 ÿ ÿ ÿ 9 ÿ ÿ 9 ÿ9 % ÿ4 ÿ9ÿ 9 ÿ ÿ ÿ9 ÿ# ÿ 998 % 9 9 ÿ 9 ÿ # ÿ98 %ÿ ÿ 9 ÿ ÿ ÿ ÿ ÿ 9 ÿ9 8 9 ÿ 8 ÿ ÿ ÿ9 % ÿ ÿ ÿ ÿ # ÿ ÿ9 ÿ 3 ÿ 9 ÿ ÿ ÿ9 ÿ 3 9 ÿ %ÿ ÿ9 ÿ ÿ#9 9 # • 7 5672@ÿ 39 %ÿ ÿ ÿ9 ÿ5 9 $ ÿ ÿ $ÿ2 ÿ ÿ # ÿ9 ÿ • 0 ÿ 9 ÿ9 % ÿ ÿ 9 ÿ9 ÿ9 9 ÿ9 % ÿNote ÿ ÿ 9 ÿ ÿ ÿ9 ÿ ÿ ÿ ÿ ÿ ÿ765 ÿ7%8 %ÿ % ÿ2 37 # # ÿ0 9 ÿ %ÿ ÿ2 ÿ7 ÿ7 # Implement roBust tog eotlectlon ana retention • tooK for E iflaenee of Known TTPs 012345607 ÿ9 ÿ ÿ002 012345607 ÿ ÿ ÿ ÿ0 ÿ ÿ ÿ ÿ ÿ ÿ ÿ9 ÿ ÿ ÿ ÿ ÿ9 ÿ 9ÿ ÿ ÿ1 ÿ9 ÿ9 ÿ9 ÿ ÿ ÿ ÿ ÿ 0 ÿ ÿ ÿ 9ÿ ÿ ÿ ÿ ÿ ÿ ÿ#2$ ÿ9 ÿ ÿ 3 ÿ ÿ ÿ ÿ Re'11ew logs fur sttsplelotts lmpossl61e logins ÿ ÿ ÿ ÿ ÿ ÿ62ÿ ÿ ÿ ÿ ÿ ÿ62 ÿ ÿ ÿ ÿ ÿ ÿ % ÿ ÿ ÿ % ÿ % ÿ o tooK fur one IP ttsea for mttltlpte aemttnts ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ9 ÿ ÿ62 Seardi fur lmpossll5te travel ÿ ÿ ÿ ÿ 9 ÿ ÿ ÿ ÿ' ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ 9ÿ ÿ ÿ62ÿ ÿ ÿ ÿ ÿ ÿNote ÿ ÿ ÿ ÿ ÿ ÿ ÿ9 ÿ ÿ 9 ÿ ÿ ÿ#2 ÿ ÿ 9 ÿ ÿ ÿ ÿ o Evalttate prneesses ana program exeetttlon wmmanl 1-tlne argttmentsÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ - 9 ÿ9 ÿ ÿ ÿ ÿ 6 9 ÿ ÿ ÿ ÿ ÿ 0 ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ o Re'11ew logs for ttnttsttal actlVlfyÿ ÿ ÿ ÿ ÿ ÿ ÿ o tooK for ttnttsttal ttser agent strings ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ • tooK fur 6eHmilorat eVIHenee or networK ana Host-6asea artifacts • o o 0 6 ÿ1 ÿ ÿ1 2 3 ÿ ÿ ÿ 9ÿ ÿ ÿ ÿ9 ÿ ÿ ÿ ÿ ÿ9 ÿ ÿ ÿ ÿ ÿ ÿ4 • Reset passworas for all loeal aewttnts 0 5 5 ÿ6 9 5 ÿ$ ÿ5 ÿ ÿ ÿ6 ÿ ÿ ÿ ÿ ÿ ÿ9 ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ9 ÿ 7 ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿNote ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ89 ÿ ÿ ÿ ÿ ÿ' 9 ÿ ÿ9 ÿ ÿ ÿ ÿ ÿ89ÿ ÿ ÿ ÿ9 ÿ ÿ ÿ ÿ ÿ ÿ0 ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ 9 ÿ ÿ ÿ56ÿ ÿ1 9 ÿ ÿ 0 ÿ56ÿ ÿ1 ÿ ÿ1 ÿ ÿ ÿ ÿ ÿ ÿ ÿ9 ÿ ÿ 9 ÿ @ • Reset alt aomaln ttser aamrn ana sen lee aewttnt passworas ÿ9 ÿ ÿ ÿ ÿ ÿ ÿ ÿ'520 ÿ ÿ9 ÿ ÿ ÿ ÿ 9 ÿ ÿA6$5ÿ5 ÿ1 ÿ7 ÿ4 ÿ9 ÿ 5B ÿ ÿ ÿ$ 4 ÿ ÿ5 ÿ6 C 0ÿDE@ÿ' DE@ ÿA 5 ÿ ÿ ÿ ÿ 0 ÿ9 ÿ9 ÿ ÿ ÿ ÿ ÿ1 Note 012345607 89 ÿ6 ÿ ÿ ÿ ÿ ÿ 9 4 ÿ 9 ÿ ÿ ÿ 9 9 ÿ 012345607 ÿ 9 ÿ ÿ ÿ7 9 ÿ2 ÿ ÿ # ÿ$9 ÿ ÿ9 % 9 ÿ ÿ 9 ÿ$9 ÿ ÿ'20ÿ 9 9 0 ÿ8 6 ÿ ' ÿ ÿ 6 'ÿ 9 ÿ ÿ - ÿ ÿ9 ÿ 9 ÿ ÿ9$ÿ 9 9 ÿ 9 ÿ ÿ$9 9 ÿ 9 ÿ 9ÿ ÿ ÿ ÿ9$ÿ 9 9 ÿ#ÿ ÿ ÿ 9 ÿ4 ÿ 9 ÿ ÿ 9 ÿ ÿ 9ÿ# ÿ 0 9 ÿ ÿ ÿ 9 9 ÿ002 9# ÿ ÿ ÿ 9 ÿ ÿ ÿ ÿ 9ÿ ÿ ÿ 9 9 ÿ 9 ÿ ÿ Implement Cfel lentlal Flaraenlng EnatJfe Mutffflltnm111ment1eaf 1on ÿ$9 ÿ ÿ ÿ 9 ÿ 2 9 ÿ # 3 9 ÿ ÿ 9 ÿ 3 ÿ 8' ÿ # ÿ ÿ 9 # ÿ 9ÿ# ÿ 8'ÿ#ÿ ÿ$ 9 ÿ 9 ÿ 9 ÿ ÿ4 # 9 ÿ 9 ÿ ÿ $ ÿ9$ÿ 9 ÿ ÿ ÿ 9 ÿ 0 9 ÿ9$ÿ ÿ 8'ÿ 3 567 ÿ 9 ÿ 9 ÿ 9 ÿ ÿ 8' ÿ' 9 9 ÿ ÿ $9 ÿ$ ÿ ÿ8 9 ÿ ÿ' 9 ÿ ' ÿ ÿ 9 ÿ 9 ÿ ÿ 9 ÿ 9 2 9 ÿ ÿ$9 ÿ ÿ 9 ÿ ÿ ÿ ÿ $ ÿ ÿ $ 9 ÿ 9 ÿ 9 597ÿ • Enable mtdtlfactor autHentleatlon MFA Enibn e Strong tJnfque Passwmffs ÿ2 9 ÿ 9 ÿ 9 ÿ# ÿ 9 ÿ ÿ 9 ÿ9 ÿ 9 ÿ9 ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ19 ÿ' 9 ÿ2 9 Ena6te passwora management functions 9 9 ÿ 1'2 ÿ$9 ÿ 9 ÿ ÿ 9 ÿ0 ÿ ÿ ÿ ÿ# ÿ9$ÿ ÿ 9 ÿ ÿ 9 ÿ ÿ 9ÿ ÿ 9 ÿ 9 • Require aewunts to Have strong unique passworas • fntniduee'Aewunr ttJdcvtit anlf ffme-Base71 'Attess Features ÿ ÿ 9 ÿ 9ÿ ÿ$ ÿ 9 9 eonflgure tlme-6asea aeeess fur aewunts set at tHe aamln level ana HlgHer 8 2 ÿ ÿ 06 00 ÿ 60 ÿ ÿ 9 ÿ 9 9 ÿ ÿ ÿ ÿ ÿ ÿ 9 ÿ $9 ÿ9$ÿ ÿ ÿ9$ÿ ÿ ÿ ÿ ÿ ÿ 9ÿ0 ÿ 9 ÿ0 ÿ ÿ ÿ 9 ÿ ÿ ÿ 9 0 ÿ 9 ÿ ÿ ÿ ÿ ÿ 9 9 ÿ # ÿ 9 ÿ 9 ÿ ÿ ÿ'-ÿ ÿ ÿ ÿ 9 ÿ ÿ 9 ÿ ÿ ÿ4 ÿ ÿ 9 ÿ ÿ ÿ ÿ ÿ # ÿ ÿ 3 9 ÿ ÿ 9 ÿ 9 ÿ ÿ # ÿ ÿ 9ÿ ÿ ÿ# ÿ9 ÿ$9 ÿ ÿ $ ÿ 9ÿ 9 ÿ ÿ 9 9 • lmptemenUlme-out ana Ioele-out features • 'Hel1uce cre11enrtaf E tposure ÿ 9ÿ ÿ ÿ ÿ 9 ÿ ÿ 9 ÿ ÿ ÿ # ÿ ÿ ÿ4 9 ÿ- $ • tlse Vlrtuallzatlon solutions on moaem Haraware ana software 012345607 89 ÿ 9 ÿ 89 9 ÿ ÿ09 ÿ2 9 ÿ ÿ 02 ÿ29 012345607 ÿ 9 ÿ ÿ89 9 ÿ9 # 9 ÿ 9 ÿ ÿ ÿ ÿ $9 ÿ 9ÿ %$ ÿ ÿ 9 ÿ ÿ4' ÿ ÿ ÿ 89 9 ÿ ÿ02 ÿ ÿ$9 ÿ 9 ÿ 9 ÿ02 ÿ ÿ ÿ ÿ % ÿ 9 % 9 9ÿ ÿ 9 ÿ 9ÿ 9 ÿ ÿ 9 %ÿ ÿ ÿ ÿ # ÿ ÿ ÿ-7 6ÿ 9 ÿ0 ÿ6 ÿ ÿ4 ÿ ÿ9 # 9 ÿ02 ÿ 1 ÿ' 4' ÿ ÿ9 ÿ 2$ 9 ÿ301 ÿ 9 ÿ ÿ 9 9 ÿ ÿ 9 9ÿ$9 ÿ 9 9 ÿ ÿ$9 ÿ %ÿ89 9 1 4 Establish Centralized Log Management 8 9 5 ÿ ÿ $$ ÿ 96ÿ 9 ÿ ÿ 6ÿ 9ÿ ÿ % ÿ ÿ ÿ 7 7$ ÿ ÿ ÿ 9ÿ ÿ ÿ 9 ÿ ÿ ÿ 96 9 ÿ 9 9 ÿ ÿ ÿ ÿ ÿ 67 ÿ 7 9 ÿ ÿ 9 ÿ 9 9 ÿ 9 ÿ ÿ 9 ÿ 96ÿ %ÿ ÿ 9ÿ ÿ ÿ ÿ ÿ % ÿ ÿ ÿ $ % • If ttslng M365 ena51e t1nlflea Attcllt tog t1At 4 ÿ ÿ 9 ÿ72 ÿ ÿ 9 2 ÿ ÿ '9 ÿ 5 9 ÿ ' 9 @ÿ0 ÿ2 906 ÿ ÿ 9ÿ 4 ÿ 9 ÿ • Correlate logs lnelttHlng M365 logs from networl ana Host secttrlfy Helrlees 0 99 ÿ ÿ $ÿ ÿ ÿ ÿ %ÿ ÿ ÿ 96ÿ 9 ÿ ÿ ÿ ÿ$ ÿ ÿ %ÿ ÿ 4 ÿ 6 ÿ ÿ ÿ ÿ $ÿ 9 5 ÿ ÿ 9 5 ÿ 3 ÿ 9 ÿ @ ÿ ÿ2 9 ÿ ÿ • Ensttre PowerSHeU logging Is tttmea on 0 9 9ÿ ÿ A ÿ ÿ ÿ 9 9ÿ 9 ÿ • t1paate PowerSHell lnstanees to version 5 lJ or later ÿ 2 9 ÿ1 ÿ 9 ÿ$9 9ÿ 9 ÿ 9 ÿ 9ÿ 7 2 ÿ 9ÿ ÿ ÿ9 9 ÿ ÿ ÿ ÿ ÿ 9$9 ÿ 9 ÿ ÿ ÿ9 $ ÿ ÿ • Confirm PowerSHeU 5 lJ Instances Have moHttle script tslocR ana transcription logging ÿ ÿ • Monitor remote aceessfRemote t JesRrop Protocol Rt JP logsÿ 9 ÿ B9'2ÿ$ 9 • Create a centrallzea log management system 0 0 0 Initiate a Software anll PatcH Management Program ÿ 9 ÿ ÿ $ %ÿ @ 9 $ ÿ ÿ ÿ %ÿ 9ÿ 6 ÿ ÿ 9 5 ÿ ÿ 9 ÿ ÿ $$ 9 % ÿ 9 ÿ9 6ÿ ÿ $9 ÿ 9 5 ÿ ÿ 9 ÿ %ÿ$ ÿ ÿ @ 9 9 ÿ %ÿ $ ÿ ÿ 9$9 7 ÿ @ 9 ÿ ÿ$ ÿ $9 9 ÿ 6 ÿ ÿ 9 5 ÿ ÿ ÿ ÿ $ ÿ ÿ @ 9 ÿ 9 %ÿ @ 9ÿ ÿ$ ÿ ÿ9 ÿ ÿ 2$ ÿ 9ÿ ÿ ÿ 012345607 prioritize pateHes for Es tHat are alreaay l nown • eonslaer ttslng a eentrallzea pateH management SJS em 0 899 ÿ ÿ ÿ 8 ÿ ÿ ÿ 8 ÿ8 8 ÿ 9 ÿ8 ÿ 89 012345607 ÿ ÿ ÿ ÿ# ÿ # Subscribe to CISA cyberseeurlty notifications ana aHvlsorlesÿ $ ÿ 8 %ÿ 9 ÿ 8 %ÿ8 ÿ 8 ÿ0 ÿ# ÿ8 8 8 ÿ ÿ 8 8 ÿ 8 8 ÿ8#8 ÿ ÿ9 98 ÿ '#8 8 ÿ8 %ÿ ÿ8 98 %ÿ8 9 8 ÿ $ 8 ÿ ÿ 9 ÿ 8 ÿ 98 %ÿ ÿ Sign up for CISA's cyber hygiene services% 9 ÿ $ ÿ ÿ 8 ÿ 6 ÿ 8 ÿ 98 ÿ 9 ÿ 8 8 ÿ $ 8 # ÿ 9 ÿ ÿ $ 9 ÿ9 ÿ 98 ÿ ÿ 9%ÿ 8 9ÿ62 ÿ ÿ899 9 ÿ8 ÿ 8 o • Employ Antlvlrus Programs ÿ8 ÿ8 9 ÿ ÿ ÿ #8 %ÿ8 #8 %ÿ8 ÿ 8 #8 ÿ8 ÿ 8 ÿ ÿ ÿ 8 ÿ 9 ÿ 8 ÿ Keep Virus Heflnltlons up to Hate Regularly monitor antlVlrns scans ÿ • Ensure tHat antlVlrns applleatlons are lnstallea on all organizations' computers • • t Jse Ena point tJetectlon ana Response Tools ÿ0 ÿ ÿ8 #ÿ8ÿ ÿ ÿ ÿ ÿ ÿ 9 ÿ 8 ÿ ÿ ÿ8 ÿ98 ÿ ÿ8 ÿ 9 ÿ ÿ8 8 8 ÿ89 ÿ7- ÿ ÿ8 ÿ 8 9 8 ÿ ÿ ÿ 9 ÿ 8 8 ÿ %ÿ8 ÿ 8 ÿ ÿ ÿ9 ÿ8 ÿ 9 ÿ # ÿ9 9 ÿ ÿ 89 ÿ ÿ • tltlllze enHpolnt Hetectlon ana response EDR tools Maintain Rigorous Configuration Management Programs ÿ ÿ ÿ98 ÿ 89 ÿ8 ÿ 8 ÿ 8 ÿ #ÿ ÿ9 8 ÿ ÿ 9 8 ÿ8 ÿ 9 # 8 ÿ58 ÿ8ÿ ÿ9 8 ÿ 8 ÿ ÿ 98 ÿ 8 8 ÿ ÿ ÿ ÿ 9 ÿ ÿ 9ÿ8 89 012ÿ • Atllflt configuration management programs Enforce tHe Principle of teast Privilege 8 ÿ899 ÿ ÿ 8 ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ 8 ÿ0 ÿ98 ÿ 9 ÿ ÿ 89 ÿ ÿ8 ÿ8 8 899 ÿ ÿ9 ÿÿ ÿ For lvl36S assign aHmlnlstrator roles to role-5asea aeeess control RBAej ÿ ÿ 9 ÿ ÿ 8 ÿ ÿ3 ÿ ÿ ÿ ÿ ÿ 8 ÿ %ÿ ÿ ÿ ÿ ÿ3 8 ÿ 8 ÿ899 ÿ# ÿ8 ÿ 9 8 ÿ4 ÿ ÿ - ÿ ÿ ÿ8 8 ÿ ÿ 8 ÿ ÿ ÿ3 8 ÿ 8 899 ÿ98 ÿ ÿ8 ÿ 9 8 ÿ ÿNote ÿ ÿ ÿ ÿ5 9 ' 9 8 %ÿ ÿ -ÿ ÿ %ÿ ÿ ÿ 8 ÿ8 ÿ ÿ -ÿ Remove privileges not expressly requlrea By an account's function or role ÿ 89 ÿ ÿ Ensure tHere are unique ana Hlstlnct aHmlnlstratlve aeeountsÿ 8 8 ÿ 8 ÿ • Apply tHe principle of least prlVllege • • • 012345607 89 ÿ 9 ÿ ÿ ÿ ÿ9 9 012345607 ÿ8 9 ÿ ÿ8 ÿ9 9 ÿ8 ÿ ÿ ÿ 9 ÿ 8 ÿ8 ÿ8 Reauce fHe num5er of aomaln ana enterprise aamlnlsfrator aceounfs 89 ÿ 8 9 ÿ 8 ÿ8 ÿ 99 8 • Create mm-prlVllegea aewunfs fur prtvllegea users • • Regularly aualt aamlnlstratlve user aeeounts • Regularly aualt logs to ensure new aeeounfs are legitimate users • lnsflfttte a group policy fHat cllsal5les remote Interactive logins ÿ89 ÿ ÿ# 8 9 2 ÿ$ ÿ% 0 ÿ8 ÿ ÿ 9 9 ÿ ÿ 8 ÿ ÿ8 9 8 ÿ8 9 3 • Create prtvllegea role fraelctng • Create a eHange wntrol process ÿ ÿ8 ÿ ÿ 8 8 9 ÿ89 ÿ ÿ 89 ÿ 9ÿ 8 9 • Ena5le alerts on privilege escalations ana role eHanges • tog prlVllegea user eHanges ÿ 9ÿ ÿ9 ÿ 9 9 9 ÿ89 ÿ 8 ÿ89ÿ8 ÿ 9 8 ÿ 9 Review Trust Relationships ÿ ÿ8 ÿ 898 ÿ ÿ ' 2 ÿ89 ÿ ÿ ÿ ÿ 2 ÿ0 8 ÿ8 ÿ8 ÿ 9 9ÿ ÿ ÿ 8 9 ÿ 9ÿ ÿ89 ÿ ÿ ÿ ÿ 8 9ÿ8 ÿ ÿ 9 ÿ89 ÿ 8 8 ÿÿ • Remove unnecessary trust relatlonsHlps ÿ8 ÿ ÿ ÿ89 ÿ 9 ÿ 9 8 • ReVlew contractual relatlonsHlps 9 3ÿ ÿ 9 ÿ ÿ ÿ ÿ8 8 ÿ 8 ÿ 9 9 ÿ89 ÿ 9 ÿ ÿ 898 ÿ ÿ 8 ÿ 9 9 ÿ ÿ ÿ ÿ - ÿ 9 ÿ8 ÿ89 99 9 ÿ ÿ ÿ ÿ9 8 9ÿ ÿ 9 ÿ ÿ ÿ ÿ 9 ÿ89 ÿ 9 9 ÿ 9 ÿ 9 ÿ - ÿ 9 8 ÿ89 ÿ8 9 8 ÿ9 ÿ 6 - ÿ 8 ÿ 9ÿ 20 ÿ08 9 ÿ60ÿ ÿ2 ÿ ÿ89 ÿ 6 Note 69 3ÿ' 8 9 ÿ89 ÿ58 9 9 ÿ% 89 ÿ ÿ' 2 ÿ89 ÿ 8 ÿ89 ÿ' 0 9 ÿ ÿ8 98 ÿ 9 8 9 ÿ ÿ' 2ÿ89 ÿ 2ÿ • ReVlew existing trust rela'flonsHlps wltH IT service provtaers 0 0 0 0 Enwt1rage Remme Wurl Environment Best Praetlees 4 ÿ ÿ 9 8 ÿ 9ÿ ÿ ÿ89 ÿ ÿ ÿ12 ÿ ÿ ÿ ÿ 216# 34 ÿ ÿ506 ÿ 89 ÿ 6 ÿ 9 8 ÿ 8 ÿ 9 9 ÿ ÿ9 ÿ 86 ÿ8 9 ÿ ÿ 9 ÿ 9 ÿ ÿ 8 ÿNote ÿ ÿ8 98 ÿ 9 8 9 ÿ ÿ7 9 ÿ 6 ÿ 69 8 9ÿ 3ÿ 9 ÿ89 ÿ58 9 9 ÿ8 ÿ ÿ12 ÿ 9 • Regularly upaate VPNs networ lnfrasfrttcture Bevlces ana Bevlces usea fur remote work environments ÿ ÿ 8 ÿ 9 8 ÿ 8 ÿ89 ÿ ÿ 9 8 9 012345607 289 ÿ 9ÿ ÿ ÿ 8 012345607 ÿ ÿ ÿ ÿ ÿ ÿ 9ÿ 8 ÿ ÿ48 ÿ ÿ ÿ ÿ 8 ÿ 9 ÿ # # #ÿ ÿ ÿ ÿ ÿ #ÿ lvlonlror networR traffic fur unapprovelt anlt unexpectelt prorocols 8 ÿ 9ÿ Reltuee potential attadc surfaces By ltlswntlnulng unuselt VPN serversÿ ÿ ÿ ÿ ÿ ÿ 9ÿ 9ÿ • WHen passl61e require MFA an all VPN wnnectlons • • EstaBllsH tJser Awareness Best Practices $9 ÿ ÿ % 9ÿ ÿ 8 ÿ 8 ÿ ÿ# ÿ ÿ ÿ 8 8ÿ ÿ ÿ # ÿ 9ÿ # ÿ 9 ÿ ÿ ÿ ÿ ÿ ÿ 9 ÿ08 '6 ÿ ÿ ÿ$6 ÿ ÿ 8 ÿ #ÿ ÿ ÿ ÿ ÿ 9 ÿ 9ÿ 8 ÿ #ÿ 3 ÿ8 ÿ ÿ # ÿ ÿ # # • Prwllte enlt user awareness anlt training 0 ÿ 8 8 #ÿ ÿ ÿ 8 ÿ 9 ÿ ÿ 8 ÿ ÿ ÿ ÿ 9 ÿ 8 ÿ ÿ8 ÿ 8 9ÿ ÿ ÿ ÿ ÿ ÿ 8ÿ #ÿ ÿ 9ÿ ÿ ÿ 8 % # ÿ ÿ ÿ 8 • Inform employees oftHe rlsRs of social engineering attacRs ÿ #ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ #ÿ • Ensure tHat employees are aware of wHat ro lto anlt wHom ro wntact wHen tHey see ÿ8 ÿ% 9ÿ ÿ 9ÿ 9 suspicious activity or suspect a cyber intrusionÿ 8 ÿ ÿ 9ÿ # ÿ # Apply Additional Best Practice Mitigations # ÿ 2 ÿ ÿ ÿ08 ÿ ÿ- ÿ 0 - 8 ÿ 9ÿ ÿ 9 ÿ Impose listing policies fur applications anlt remote accessÿ 0 ÿ ÿ ÿ ÿ # ÿ ÿ ÿ 8 ÿ 9ÿ 9 • Oeny atypical ln6ounlt activity from lcnown anonymlzatlon services • • lltentlfy anlt create offllne 15ac ps for critical assets • Implement networR segmentation • Review CISA Alert 123412 3ÿ ÿ ÿ567ÿ 9ÿ- ÿ ÿ ÿ ÿ8 #ÿ 567ÿ ÿ - ÿ ÿ8 ÿ2 # 6 ÿ9 ÿ8 ÿ ÿ ÿ 3 ÿ- ÿ 9 ÿ ÿ # #ÿ9 ÿ ÿ ÿ 8 ÿ ÿ ÿ ÿ- ÿ ÿ8 ÿ2 # ÿ ÿ 9ÿ # ÿ ÿ ÿ ÿ ÿ ÿ ÿ 42ÿ ÿ 8 8ÿ 8 ÿ ÿ ÿ #ÿ ÿ #ÿ ÿ 8 ÿ ÿ ÿ ÿ ÿ 9ÿ ÿ 8 ÿ 8 ÿ #ÿ ÿ 8 ÿ ÿ ÿ ÿ ÿ # ÿ# ÿ ÿ ÿ ÿ 9 ÿ 9 # ÿ9 ÿ ÿ ÿ ÿ ÿ ÿ 8 ÿ$ ÿ ÿ ÿ ÿ ÿ $ $ ÿ 121 ÿ 213 @5ÿ ÿ48 ÿ # ÿ ÿ0 # ÿ ÿ ÿ ÿ ÿ 8 - ÿ ÿ8 ÿ ÿ0 3 ÿ ÿ ÿ ÿ ÿ 8 ÿ ÿ4 ÿ ÿ ÿ ÿ ÿ A 012345607 89 9 0 ÿ 9 ÿ ÿ 9 ÿ9 ÿ ÿ ÿ ÿ ÿ ÿ 9 ÿ ÿ ÿ 9 9 ÿ ÿ0 ÿ 6#ÿ$% #ÿ9 ÿ86% ÿ ÿ ÿ ÿ9 ÿ 9 ÿ ÿ ÿ # ÿ9 ÿ ' ÿ ÿ9 9 ÿ ÿ ÿ ÿ ÿ 9 ÿ # #ÿ ÿ ÿ ÿ ÿ 9 #ÿ 9 9 #ÿ 9 9 #ÿ ÿ #ÿ ÿ ÿ ÿ ÿ ÿ #ÿ 9 #ÿ ÿ 9 ÿ ÿ ÿ 6#ÿ$% #ÿ 86% ÿ 012345607 8 9 ÿ6 9 0 ÿ ÿ ÿ9 ÿ 9 ÿ ÿ 9 ÿ ÿ ÿ ÿ ÿ8 #ÿ 9 ÿ ÿ 9 ÿ 6ÿ ÿ ÿ9 ÿ - 9 - ÿ ÿ 6 ÿ01-2ÿ8 ÿ49 ÿ38 49 4ÿ9 ÿ35664ÿ070 8782ÿ ÿ ÿ 9 ÿ9 ÿ8 49 9 ÿ4 9 9 9 #ÿ 9 ÿ ÿ ÿ ÿ 9 ÿ 9 ÿ ÿ 3ÿ 9 #ÿ #ÿ9 9 ÿ ÿ ÿ ÿ ÿ ÿ9 ÿ ÿ ÿ ÿ9 ÿ ÿ ÿ ÿ ÿ ÿ9 ÿ ÿ 9 ÿ ÿ ÿ ÿ 9 ÿ ÿ 9 9 ÿ9 ÿ9 9 ÿ ÿ ÿ 9 ÿ0 ÿ ÿ ÿ ÿ ÿ ÿ 9 ÿ9 9 9 ÿ ÿ ÿ 9 #ÿ 9 ÿ86% ÿ9 ÿ8 9 9 9 ÿ ÿ$% ÿ ÿ ÿ 9 ÿ ÿ #ÿ 9 ÿ ÿ$% ÿ8 ÿ ÿ8 ÿ9 31 4ÿ561 10 ÿ ÿ8 @ 9 9 ÿA ÿ6 9 ÿ 9 ÿ 9 9 ÿ9 9 ÿ ÿ ÿ ÿ$% ÿ ÿ ÿ #ÿ ÿ2 ÿA$%# 9 ÿ 9 #ÿ9 ÿ 9 ÿ ÿ 9 9 ÿ9 @ 9 9 ÿ B3ÿA 9 ÿ09 #ÿ0 #ÿ9 ÿ2 Reconnaissance ÿC0 18D 9 9 ÿ ÿ ÿ ÿ 9 ÿ ÿ9 9 ÿ9 ÿ ÿ 9 9 ÿ 9 ÿ 9 ÿ 9 ÿ ÿ ÿ ÿ ÿ 9 ÿ0 ÿ9 9 ÿ ÿ ÿ 9 ÿ ÿ 9 ÿÿC0 657 DC 2D ÿ 0 657 E9 ÿF ÿ6 ÿ6 9 3ÿ8 9 ÿ 9 ÿ 9 ÿ 9 ÿ 9 ÿ 9 ÿ ÿ ÿ ÿ 9 9 I ° ' ' ° ÿ Initial Access C0 D 6 9 ÿ ÿ ÿ ÿ ÿ 9 ÿ ÿ 9 ÿ ÿ ÿ ÿ 9 ÿ ÿ 9 ÿ ÿ9ÿ ÿ ÿ B9 #ÿ ÿ9 9 ÿ 9 ÿ 9 ÿ9 ÿ9 ÿ 9 ÿ B ÿ9 ÿ9 ÿ9ÿ 9 ÿ ÿ 9 ÿ6 9 ÿ #ÿ2 #ÿ2 ÿ7 9 9 # ÿA ÿ7 9 ÿC0 25DC 5Dÿ0 ÿ ÿ9 ÿ 9 ÿ9 ÿ9 ÿ 9 ÿ 9 ÿC0 25 0Dÿ9 ÿ ÿ9 ÿC0 25 1DC 7Dÿ0 ÿ9 ÿ9 ÿ ÿ B 9 ÿ ÿ ÿ 9 ÿ9 ÿ ÿ ÿC0 88DC0 Dÿ0 ÿ9 9 ÿ ÿ9 9 9 ÿ 012345607 89 9 9 ÿ ÿ 9 9 ÿ 9 9 ÿ ÿ 9 ÿ 1ÿ 9 ÿ ÿ 012345607 ÿ9 9 ÿ89 9 ÿ 0##$% ' # ÿ ÿ 9 ÿ 9 ÿ -9 - ÿ9 ÿ8 ÿ ÿ ÿ ÿ ÿ 9 - ÿ ÿ ÿ 9 ÿ 0# 00'%% ' ÿÿ ÿ ÿ ID Name Description 0#%24 ÿ5 ÿ5 9 9 ÿ ÿ ÿ ÿ 9ÿ 9 9 ÿ ÿ9 ÿ ÿ ÿ ÿ 9 ÿ ÿ ÿ6 ÿ5 9 ' 3 0#%24 ÿ5 35 9 9 ÿ ÿ ÿ ÿ 9ÿ 9 9 ÿ ÿ ÿ ÿ ÿ ÿ ÿ 9 ÿ ÿ ÿ6 ÿ5 3'%%6 ÿ5 9 ÿ29 9 9 ÿ2 9 9ÿ7 ÿ ÿ69 9 9ÿ7 ' 0#%24 ÿ5 35 9 9 ÿ ÿ ÿ ÿ 9ÿ 9 9 ÿ ÿ ÿ ÿ ÿ ÿ ÿ 9 ÿ ÿ ÿ6 ÿ5 3'%%8 ÿ5 9 ÿ29 9 9 ÿ2 9 9ÿ7 ÿ ÿ69 9 9ÿ7 ' 7 0##97 9 ÿ 9 95 9 9 ÿ ÿ9 9 9ÿ9 9 ÿ 9 9ÿ 9 9 ÿ ÿ ÿ 9 ÿ ÿ-9 ÿ8 ÿ 9 9 9 9 8 ' 0##$ 7 - ÿ 5 ÿ-2- 5 9 9 ÿ ÿ 9 - ÿ ÿ 9ÿ 9ÿ ÿ ÿ89 9 ÿ ÿ ÿ 9 9 ÿ - 9 ÿ ÿ- % ÿ ÿ 8 9 ÿ ÿ ÿ ÿ ÿ 9 ÿ ÿ 9ÿ 9 9 ÿ ÿ - 9 ÿ 9 ' 0# 02 3ÿ -9 5 9 9 ÿ ÿ 9 ÿ -9 - ÿ9 ÿ8 ÿ ÿ ÿ ÿ ÿ ÿ 9 - ÿ ÿ ÿ 9 ÿ ÿ 0'%%- ÿ1 ÿ 9 'ÿ ÿ Persistence 05%%%9 29 9 9ÿ ÿ ÿ 9 9 ÿ ÿ 9 9 ÿ 9ÿ ÿ 99-ÿ 9 ÿ ÿ 9 ÿ 9 ÿ 9 ÿ 9 9 ÿ ÿ 9 ÿ 9 - ÿ ÿ ÿ ÿ ÿ 9 ÿ 9 'ÿ0 9 9 ÿ ÿ ÿ 9 ÿ 9 9 ÿ ÿ9 ÿ ÿ ÿ ÿ 9 ÿ ÿ ÿ6 5 9 ÿ29 9 9 ÿ2 9 9ÿ7 ÿ ÿ69 9 9ÿ7 ÿ 0#%23 ' 9 ÿ ÿ ID Name Description 0#%4 ÿ5 5 9 9 ÿ ÿ ÿ ÿ 9ÿ 9 9 ÿ ÿ9 ÿ ÿ ÿ ÿ 9 ÿ ÿ ÿ6 ÿ5 9 ÿ29 23 9 9 ÿ2 9 9ÿ7 ÿ ÿ69 9 9ÿ7 ' 012345607 Privilege Escalation ÿ90 2 ÿ7 ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ # $%ÿ0 ÿ ÿ ÿ ÿ ÿ ÿ ' ÿ ÿ ÿ ÿ ÿ ÿ ÿ6 ÿ ÿ2 ÿ2 ÿ7 ÿ ÿ7 ÿ90 %9- ÿÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ 90 % ÿ# ÿ ÿ ÿ %9-0 ÿÿÿ ÿ ID Name 012345607 Description ÿ ÿ ÿ ÿ ÿ ÿ ÿ ' ÿ ÿ ÿ ÿ ÿ ÿ ÿ6 0 1 ÿ ÿ % 0 1 ÿ 3ÿ2 ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ6 % ÿ ÿ2 ÿ2 ÿ7 ÿ ÿ ÿ7 % Defense Evasion ÿ90 0 ÿ7 ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ %ÿ0 ÿ ÿ ÿ ÿ ' ÿ ÿ ÿ 3 ÿ ÿ ÿ 4 ÿ ÿ ÿ ÿ ÿ # ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ90 - %9-5 ÿÿ ÿ ID Name Description 0 6 ÿ7 ÿ ÿ ÿ ÿ $ ÿ ÿ ' ÿ ÿ ÿ 3 ÿ ÿ ÿ ÿ 4 ÿ ÿ - ÿ6 ÿ ÿ ÿ # ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ % 012345607 ÿ Credential Access 90 012345607 ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ # $ÿ0 ÿ % ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ % ÿ' ÿ ' ÿ ÿ ÿ ÿ ÿ ÿ ÿ# ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ % ÿ ÿ ÿ ÿ ÿ90 -$ - $9 ÿ0 ÿ % ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ # ÿ ÿ ÿ 0 ÿ ÿ ÿ ÿ ÿ% ÿ ÿ ÿ90 $ - $9 1 ÿ ID Name Description 0 23ÿ % ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ % ÿ' ÿ ÿ ÿ ÿ ÿ -$ ' 3ÿ40 ÿ ÿ ÿ# ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ % ÿ - '3 ÿ ÿ ÿ $ÿ 0 5 ÿ6 3ÿ2 % ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ # ÿ ÿ ÿ 0 ÿ $ # ÿ3 ÿ ÿ ÿ ÿ ÿ% ÿ ÿ $ÿ - Discovery 90 ' % ÿ ÿ ÿ ÿ ÿ % ÿ ÿ ÿ ÿ ÿ # ÿ ÿ ÿ ÿ ÿ # $ÿ0 ÿ % ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ # ÿ ÿ ÿ ÿ ÿ# ÿ ÿ ÿ 90 1- $9 7 ÿÿ6 ÿ ÿ ÿ % ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ % ÿ ÿ ÿ4 # 8 ÿ ÿ ÿ % ÿ90 91 $9- ÿ ID Name Description 0 6 ÿ ÿ' % ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ # 1 ÿ' % ÿ ÿ ÿ ÿ ÿ# ÿ ÿ ÿ $ÿ 0 ' ÿ0 % ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ 91' % ÿ ÿ % ÿ ÿ ÿ4 # ÿ 8 ÿ % $ ÿ Collection TA0009 ÿ ÿ ÿ ÿ ÿ ÿ % ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ ÿ % ÿ ÿ ÿ % % $ÿ0 ÿ % ÿ % ÿ ÿ ÿ ÿ ÿ3 2 ÿ ÿ 012345607 89 9 ÿ 9 ÿ 0 ÿÿÿ ID Name 012345607 Description 0 9 9ÿ ÿ6 9 ÿ 3$%8 9 ÿ 9 ÿ 8 9' ÿ # ÿ #9 2 ÿ ÿ9 ÿ9ÿ ÿ ÿ ÿ8 9 9 ÿ 9 ÿ #9 2 ÿ Command and Control TA00ll 9 %ÿ9 %ÿ ÿ ÿ ÿ ÿ # ÿ #9 ÿ9%8 9 ÿ 9 ÿ ÿ 9 ÿ- #ÿ ÿ % ÿ # ÿ ÿ- # ÿ9ÿ8 ÿ - ÿ0# ÿ9%8 9 #9 %ÿ ' # ÿ ÿ ÿ ÿ% ' ÿ # ÿ ÿ ÿ 9 ÿ 90 ÿ6 ÿ # ÿ 9 1 02 ÿ9 %ÿ324ÿ 8 ÿ9 ÿ %ÿ9 ÿ 5# ÿ ÿ ÿ ÿ ÿ 90 ÿ9 %ÿ 9 ÿ # 9 8 ÿ 0 6 ÿÿ ÿ ID Name Description 0 6 2 3ÿ7 5# ÿ2 0 ÿ% ' ÿ # ÿ ÿ ÿ 9 ÿ 90 1ÿ9%8 9 ÿ 9 ÿ #9 ÿ ' # ÿ ÿ ÿ ÿ $%% 9 ÿ 012345607 89 ÿ ÿ 6 ÿ 6 ÿ ÿ ÿ 3ÿ ÿ# $ÿ %ÿ# ÿ 012345607 ÿ ' % ÿ ÿ ' ' ÿ7 ÿ ÿ ÿ7 ' ÿ9ÿ ÿ 9 ÿ 8 ÿ ÿ ÿ 3ÿ- % %ÿ ÿ 2 ÿ ÿ ÿ0 ÿ 91 ÿ 82 ÿ ÿ 6 ÿ 6 ÿ ÿ ÿ 3ÿ ÿ# $ÿ %ÿ# ÿ ÿ ' % ÿ ÿ ' ' ÿ7 ÿ ÿ ÿ7 ' ÿ9ÿ ÿ 9 ÿ 83 ÿ- 4ÿ 3ÿ 5ÿ ÿ ÿ6ÿ %ÿ 7 ÿ8 % ÿ 9 ÿ 1ÿ ÿ 9 ÿÿ 8 ÿ- 4ÿ# 5 3ÿ 9 % 9 ÿ93ÿ- ÿ ÿ 8 ÿ ÿ ÿ6 ' 3ÿ5 ÿ2 % ÿ ÿ ÿ % ÿ 91 ÿ 8 ÿ- 4ÿ 3ÿ# ÿ- % ÿ ÿ ÿ0 9 ÿ 1ÿ ÿ 9 ÿ 8 ÿ ÿ ÿ6 ' 3ÿ1 % ÿ- ÿ5 9 ÿ ÿ ÿ % 91 ÿ 81 ÿ- 4ÿ 3ÿ2 ÿ ÿ ' ÿ ÿ9 7ÿ4 9 ÿ5 ÿ# ÿ2ÿ5 ' ÿ 9 ÿ 89 ÿ- 4ÿ 3ÿ4 9 ÿ5 ÿ ÿ# ÿ ÿ ' ÿ2ÿ5 ' 9 ÿ 899 ÿ- 4ÿ 3ÿ4 9 ÿ99ÿ @ ' ÿ2 ÿ ' ÿ 9 ÿ 89 ÿ- 4ÿ %ÿ2 3ÿ07 ÿ6' ÿ ÿ 911 ÿ ÿ 1 9 ÿ ÿ 2 ÿ ÿ ' ÿ 9 ÿ 892 ÿ- 4ÿ 3ÿ47 A ÿ 9ÿ ÿ ÿ2 ÿ ÿ ÿ ÿ 893 ÿ ÿ ÿ 7 3ÿ2 9 7 3ÿ ÿ 8 ÿ ÿ5 ÿ9ÿ5 ' 9 ÿ 89 ÿ ÿ ÿ6 ' 3ÿ$ ÿ ÿ$ % ÿ 49 ÿ6'' ÿ % 91 ÿ 89 ÿ ÿ ÿ6 ' 3ÿ ÿ- % ÿ ' ÿ ÿ % ÿ % 91 ÿ 89 ÿ-60 7ÿ# 3ÿ 20 ÿ9 ÿ0 ÿ 9 ÿ 89 ÿ-60 7ÿ# 3ÿ 20 ÿ9 ÿ0 ÿ 9 ÿ 891 ÿ-60 7ÿ 49 3ÿ ÿ 8 ÿ9 ÿ0 ÿ 9 ÿ 8 ÿ ÿ ÿ 7 ÿ ' ÿ 7 ÿ ÿ- ÿ 8 9 ÿ-60 7ÿ# 3ÿ 20 ÿ9 ÿ0 ÿ 9 ÿ 8 ÿ ÿ ÿ 7 ÿ ' ÿ 7 ÿ ÿ- ÿ 8 2 ÿ-60 7ÿ# 3ÿ 20 ÿ9 ÿ0 ÿ 9 ÿ 8 3 ÿ-60 7ÿ# 3ÿ 20 ÿ9 ÿ0 ÿ 9 ÿ 8 ÿ-60 7ÿ 49 3ÿ ÿ 8 ÿ9 ÿ0 ÿ 9 ÿ 8 ÿ-60 7ÿ 49 3ÿ ÿ ÿ ' ÿ ÿÿ 8 ÿ-60 7ÿ 49 3ÿ ÿ2 ÿ- 7ÿ ÿÿ 8 ÿ-60 7ÿ# 3ÿ 20 ÿ9 ÿ0 ÿ 9 ÿ 8 1 ÿ ÿ ÿ 7 ÿ ' ÿ 7 ÿ ÿ- ÿ 82 ÿ ÿ ÿ 7 ÿ ' ÿ 7 ÿ ÿ- ÿ 829 ÿ-60 7ÿ# 3ÿ 20 ÿ9 ÿ0 ÿ 9 ÿ 82 ÿ-60 7ÿ# 3ÿ 20 ÿ9 ÿ0 ÿ 9 012345607 89 9 ÿ ÿ 3ÿ6 ÿ 9 012345607 Tfils proauct Is prwlaea sul5ject to tfils Notification and this Privacy Use policy 012345607