Анализ TTPs APT группировок на основе TI отчетов, а также разработка и тестирование атомарных тест-кейсов для реализуемых сценариев всегда занимает определенное время на этапе подготовки к проведению Purple Teaming. Поэтому мы всегда стараемся сначала найти нормальную аналитику с техническими подробностями, без маркетинговой воды и "highly sophisticated" формулировок😎 Недавно мне на глаза попался очень полезный репозиторий, который хотелось бы порекомендовать в этой заметке.

Автор детально разбирает отчеты и публикует готовый план и необходимые инструменты для проведения симуляции сценария в формате Purple Teaming.
На примере последнего - Fancy Bear APT28 Adversary Simulation:

🟣 Create dll downloads files through base64, This is to download two files the first is (dfsvc.dll) the second is (Stager.dll)
🟣 Exploiting CVE-2021-40444 to inject the DLL file into Word File and create an execution for DLL by opening Word File
🟣 Word File is running and the actual payload is downloaded through DLLDownloader.dll and we have two files Stager.dll and dfsvc.dll
🟣 The Stager decrypts the actual payload and runs it which in turn is responsible for command and control
🟣 Data exfiltration over OneDrive API C2. This integrates OneDrive API functionality to facilitate communication between the compromised system and the attacker-controlled server thereby potentially hiding the traffic within legitimate OneDrive communication
🟣 Get Command and Control through payload uses the OneDrive API to upload data including command output to OneDrive, the payload calculates the CRC32 checksum of the MachineGuid and includes it in the communication with the server for identification purposes

В итоге получается готовый сценарий, который можно кастомизировать и использовать для проведения Purple Teaming.