Rilevamento e risposta alle minacce di rete basati sull'intelligenza artificiale: approfondimenti da un leader del Magic Quadrant™ 2026 di Gartner®
Leggi il blog
Vectra AIè stata inserita tra i leader nel Magic Quadrant di Gartner per la gestione delle minacce alla rete (NDR) del 2026
Leggi il rapporto
Riga superiore con icona dell'hamburger
Icona dell'hamburger sulla riga centrale
Icona dell'hamburger in basso a destra
Attore statale

APT1

  1. Stato:
  1. Stato:

L'APT era un gruppo sostenuto dallo Stato noto per aver sottratto enormi quantità di dati a grandi aziende e agenzie governative. Sebbene sia stato smascherato grazie a ricerche nel campo della sicurezza informatica, si ritiene che le tattiche di questo attore malintenzionato siano ancora in uso oggi.

Individuare le TTP di APT1
La vostra organizzazione è al sicuro dagli attacchi APT1?
Contesto e obiettivi
TTP
Mappatura MITRE
Rilevamento
Domande frequenti
Guarda il briefing sulle minacce
CONTESTO
PAESI
SETTORI
VITTIME

L'origine di APT1

APT1 è stato individuato per la prima volta nel 2006 ed è stato attribuito all'Esercito popolare di liberazione (PLA) cinese. Si tratta di uno dei gruppi di attacco sponsorizzati da Stati più attivi al mondo, che ha utilizzato tecniche sofisticate per eludere i sistemi di rilevamento e sottrarre centinaia di terabyte di dati da oltre 140 organizzazioni nel corso di sette anni.

Il gruppo è rimasto attivo fino al febbraio 2013, quando ha iniziato a ridurre il numero dei propri attacchi dopo essere stato smascherato da un approfondito rapporto di ricerca sulla sicurezza informatica. Da allora, le aziende produttrici di software di sicurezza hanno individuato attacchi che riutilizzavano alcune delle tecniche originarie di APT1.

Fonti: Mandiant, SecurityWeek, OCD

Paesi presi di mira dall'APT1

Secondo Mandiant, la società autrice del rapporto che ha smascherato APT1, l'87% delle aziende prese di mira dal gruppo si trova in paesi anglofoni. In particolare, il gruppo è stato collegato ad attacchi informatici riusciti ai danni di oltre 100 aziende statunitensi.

Fonti: Mandiant, Wired 

Settori presi di mira da APT1

Si ritiene che l'APT1 sia responsabile di attacchi rivolti a organizzazioni operanti in un ampio ventaglio di settori dotati di infrastrutture critiche, tra cui agenzie governative, multinazionali e appaltatori del settore della difesa.

Vittime dell'APT1

Si ritiene che APT1 abbia sottratto centinaia di terabyte di dati da almeno 141 organizzazioni, dimostrando la capacità di rubare informazioni da decine di organizzazioni contemporaneamente.

Fonte: Mandiant

Metodo di attacco

Metodo di attacco APT1

Accesso iniziale
Escalation dei privilegi
Resistenza ed elusione delle difese
Accesso alle credenziali
Scoperta
Movimento laterale
Collezione
Esecuzione
Esfiltrazione
Impatto
Una figura oscura che getta un'ampia rete su un panorama digitale popolato da vari dispositivi, quali computer, smartphone e tablet. La rete simboleggia i tentativi dell'aggressore di individuare vulnerabilità o di ricorrere a phishing per ottenere un accesso non autorizzato.

APT1 utilizza e-mail di spearphishing contenenti allegati o link dannosi per ottenere un punto d'appoggio all'interno di una rete.

Una scala digitale che sale dall'icona di un utente standard verso una corona, simbolo dei privilegi amministrativi. Ciò rappresenta gli sforzi compiuti dall'autore dell'attacco per ottenere un livello di accesso più elevato all'interno del sistema.

Il gruppo sfrutta le vulnerabilità e utilizza strumenti come Mimikatz per ottenere privilegi elevati.

Un camaleonte che si mimetizza su uno sfondo digitale, circondato da una serie di zero e uno. Ciò rappresenta la capacità dell'autore dell'attacco di eludere i sistemi di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.

Ricorrono a tattiche di camuffamento, come ad esempio dare malware nomi malware di processi legittimi.

Un ladro munito di un kit di grimaldelli che sta maneggiando una gigantesca serratura a forma di modulo di accesso, a simboleggiare i tentativi dell'aggressore di sottrarre le credenziali degli utenti per ottenere un accesso non autorizzato.

APT1 ha estratto le credenziali dalla memoria di LSASS utilizzando strumenti come Mimikatz.

Una lente d'ingrandimento che si sposta su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per comprenderne la struttura e individuare dove si trovano i dati sensibili.

Comandi come elenco delle attività, utente di rete, e ipconfig /all vengono utilizzati per mappare la rete e il sistema della vittima.

Una serie di nodi interconnessi tra cui si muove furtivamente una figura indistinta. Ciò illustra i movimenti dell'autore dell'attacco all'interno della rete, inteso a ottenere il controllo di ulteriori sistemi o a diffondere malware.

Strumenti come RDP consentono loro di spostarsi tra i vari sistemi all'interno della rete.

Un grande aspirapolvere che risucchia file, icone di dati e cartelle in un sacco tenuto in mano da una figura indistinta. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.

Utilizzano script automatizzati e strumenti come GETMAIL per raccogliere indirizzi e-mail e altri file importanti.

Una finestra del prompt dei comandi aperta su uno sfondo digitale, con del codice dannoso che viene digitato. Questa immagine rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.

APT1 si avvale della riga di comando di Windows e degli script batch per l'automazione.

Una serie di file viene trasferita tramite un canale segreto da un computer a un cloud da un teschio, a simboleggiare il trasferimento non autorizzato di dati verso una destinazione controllata dall'autore dell'attacco.

I dati raccolti vengono spesso compressi utilizzando il formato RAR prima di essere sottratti.

Uno schermo incrinato con alle spalle un panorama urbano digitale in preda al caos, che simboleggia l'impatto distruttivo di un attacco informatico, come l'interruzione dei servizi, la distruzione dei dati o le perdite finanziarie.

Grazie a sofisticate tecniche di elusione, APT1 è riuscita a sottrarre ingenti quantità di proprietà intellettuale, acquisendo ben 6,5 terabyte di dati compressi da una singola organizzazione nell'arco di dieci mesi.

Una figura oscura che getta un'ampia rete su un panorama digitale popolato da vari dispositivi, quali computer, smartphone e tablet. La rete simboleggia i tentativi dell'aggressore di individuare vulnerabilità o di ricorrere a phishing per ottenere un accesso non autorizzato.
Accesso iniziale

APT1 utilizza e-mail di spearphishing contenenti allegati o link dannosi per ottenere un punto d'appoggio all'interno di una rete.

Una scala digitale che sale dall'icona di un utente standard verso una corona, simbolo dei privilegi amministrativi. Ciò rappresenta gli sforzi compiuti dall'autore dell'attacco per ottenere un livello di accesso più elevato all'interno del sistema.
Escalation dei privilegi

Il gruppo sfrutta le vulnerabilità e utilizza strumenti come Mimikatz per ottenere privilegi elevati.

Un camaleonte che si mimetizza su uno sfondo digitale, circondato da una serie di zero e uno. Ciò rappresenta la capacità dell'autore dell'attacco di eludere i sistemi di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.
Evasione difensiva

Ricorrono a tattiche di camuffamento, come ad esempio dare malware nomi malware di processi legittimi.

Un ladro munito di un kit di grimaldelli che sta maneggiando una gigantesca serratura a forma di modulo di accesso, a simboleggiare i tentativi dell'aggressore di sottrarre le credenziali degli utenti per ottenere un accesso non autorizzato.
Accesso alle credenziali

APT1 ha estratto le credenziali dalla memoria di LSASS utilizzando strumenti come Mimikatz.

Una lente d'ingrandimento che si sposta su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per comprenderne la struttura e individuare dove si trovano i dati sensibili.
Scoperta

Comandi come elenco delle attività, utente di rete, e ipconfig /all vengono utilizzati per mappare la rete e il sistema della vittima.

Una serie di nodi interconnessi tra cui si muove furtivamente una figura indistinta. Ciò illustra i movimenti dell'autore dell'attacco all'interno della rete, inteso a ottenere il controllo di ulteriori sistemi o a diffondere malware.
Movimento laterale

Strumenti come RDP consentono loro di spostarsi tra i vari sistemi all'interno della rete.

Un grande aspirapolvere che risucchia file, icone di dati e cartelle in un sacco tenuto in mano da una figura indistinta. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.
Collezione

Utilizzano script automatizzati e strumenti come GETMAIL per raccogliere indirizzi e-mail e altri file importanti.

Una finestra del prompt dei comandi aperta su uno sfondo digitale, con del codice dannoso che viene digitato. Questa immagine rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.
Esecuzione

APT1 si avvale della riga di comando di Windows e degli script batch per l'automazione.

Una serie di file viene trasferita tramite un canale segreto da un computer a un cloud da un teschio, a simboleggiare il trasferimento non autorizzato di dati verso una destinazione controllata dall'autore dell'attacco.
Esfiltrazione

I dati raccolti vengono spesso compressi utilizzando il formato RAR prima di essere sottratti.

Uno schermo incrinato con alle spalle un panorama urbano digitale in preda al caos, che simboleggia l'impatto distruttivo di un attacco informatico, come l'interruzione dei servizi, la distruzione dei dati o le perdite finanziarie.
Impatto

Grazie a sofisticate tecniche di elusione, APT1 è riuscita a sottrarre ingenti quantità di proprietà intellettuale, acquisendo ben 6,5 terabyte di dati compressi da una singola organizzazione nell'arco di dieci mesi.

MITRE ATT&CK

Tattiche, tecniche e procedure (TTP) di APT1

TA0001: Initial Access
T1566
Phishing
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
No items found.
TA0005: Defense Evasion
T1550
Use Alternate Authentication Material
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1087
Account Discovery
T1049
System Network Connections Discovery
T1016
System Network Configuration Discovery
TA0008: Lateral Movement
T1550
Use Alternate Authentication Material
T1021
Remote Services
TA0009: Collection
T1560
Archive Collected Data
T1119
Automated Collection
T1114
Email Collection
T1005
Data from Local System
TA0011: Command and Control
No items found.
TA0010: Exfiltration
No items found.
TA0040: Impact
No items found.
Rilevamenti della piattaforma

Come individuare minacce come APT1 con Vectra AI

Migliaia di aziende si affidano a potenti sistemi di rilevamento basati sull'intelligenza artificiale per individuare e bloccare gli attacchi prima che sia troppo tardi.

RDP Recon

Suspicious Remote Desktop Protocol

Suspicious Remote Execution

Visualizza altri rilevamenti
Valuta la tua vulnerabilità agli attacchi

La vostra organizzazione è al sicuro dagli attacchi APT1?

Valuta la tua vulnerabilità agli attacchi

Domande frequenti

Che cos'è APT1?

Chi c'è dietro APT1?

Qual è l'obiettivo principale di APT1?

Quali strumenti e tecniche utilizza APT1?

Per quanto tempo l'APT1 rimane in genere all'interno di una rete?

Quali sono i settori più a rischio?

Qual è il ruolo delle infrastrutture nelle operazioni di APT1?

Quali sono le conseguenze di un attacco APT?

Qual è il modo migliore per prevenire gli attacchi APT?

In che modo le organizzazioni possono individuare e bloccare gli attacchi APT?