Vectra AI è stata nominata Leader nel Quadrante Magico Gartner 2025 per Network Detection and Response (NDR). >
NUOVO
APPENA PUBBLICATO

Vectra AI è stata nominata Leader nel Quadrante Magico Gartner 2025 per Network Detection and Response (NDR). >

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Icona dell'hamburger in alto
Icona dell'hamburger linea centrale
Icona dell'hamburger linea di fondo
  1. cybercriminels
    >
  2. Stato-Nazione Attore

APT1

L'APT era un gruppo sponsorizzato dallo Stato noto per aver rubato enormi quantità di dati da grandi aziende e agenzie governative. Sebbene sia stato smascherato dalla ricerca sulla cybersicurezza, si ritiene che le tattiche di questo attore di minacce siano utilizzate ancora oggi.

Rilevare le TTP di APT1
La vostra organizzazione è al sicuro dagli attacchi APT1?
Contesto e obiettivi
TTP
Mappatura MITRE
Rilevamento
DOMANDE FREQUENTI
Guarda il Briefing sulle minacce
CONTESTO
PAESI
INDUSTRIE
VITTIME

L'origine di APT1

L'APT1 è stato osservato per la prima volta nel 2006 ed è stato attribuito all'Esercito Popolare di Liberazione (PLA) della Cina. Si tratta di uno dei gruppi di attacco nazionale più prolifici al mondo, che ha utilizzato tecniche sofisticate per eludere il rilevamento e rubare centinaia di terabyte di dati da oltre 140 organizzazioni nel corso di sette anni.

Il gruppo ha operato fino al febbraio 2013, quando ha iniziato a limitare i suoi attacchi dopo essere stato smascherato da un rapporto di ricerca approfondito sulla sicurezza informatica. Da allora, le aziende di software per la sicurezza hanno identificato attacchi che ripropongono alcune delle tecniche originali dell'APT1.

Fonti: Mandiant, SecurityWeek, OCD

Paesi presi di mira da APT1

Secondo Mandiant, la società dietro il rapporto che ha smascherato l'APT1, l'87% delle aziende prese di mira dal gruppo si trovano in Paesi di lingua inglese. In particolare, il gruppo è stato collegato agli hackeraggi di successo di oltre 100 aziende statunitensi.

Fonti: Mandiant, Wired

Industrie prese di mira da APT1

L'APT1 è probabilmente all'origine degli attacchi che hanno preso di mira organizzazioni di un'ampia gamma di settori con infrastrutture critiche, tra cui agenzie governative, aziende globali e appaltatori della difesa.

Vittime di APT1

Si ritiene che APT1 abbia rubato centinaia di terabyte di dati da almeno 141 organizzazioni, dimostrando la capacità di rubare da decine di organizzazioni contemporaneamente.

Fonte: Mandiant

Metodo di attacco

Metodo di attacco APT1

Accesso iniziale
Escalation dei privilegi
Difesa Evasione
Accesso alle credenziali
Scoperta
Movimento laterale
Collezione
Esecuzione
Esfiltrazione
Impatto
Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.

APT1 utilizza e-mail di spearphishing contenenti allegati o link dannosi per stabilire un punto d'appoggio all'interno di una rete.

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.

Il gruppo sfrutta le vulnerabilità e utilizza strumenti come Mimikatz per ottenere privilegi elevati.

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.

Utilizzano tattiche di mascheramento, ad esempio dando al malware il nome di processi legittimi.

Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.

APT1 ha scaricato le credenziali dalla memoria di LSASS utilizzando strumenti come Mimikatz.

Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.

Comandi come elenco di attività, utente della rete, e ipconfig /all vengono utilizzati per mappare la rete e il sistema della vittima.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.

Strumenti come RDP consentono di spostarsi tra i sistemi della rete.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.

Utilizzano script automatici e strumenti come GETMAIL per raccogliere e-mail e altri file di valore.

Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.

L'APT1 si affida alla shell di comando di Windows e allo scripting batch per l'automazione.

Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.

I dati raccolti vengono spesso compressi con RAR prima dell'esfiltrazione.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.

Sofisticate tecniche di evasione hanno permesso ad APT1 di rubare grandi quantità di proprietà intellettuale, catturando ben 6,5 terabyte di dati compressi da una singola organizzazione nell'arco di dieci mesi.

Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.
Accesso iniziale

APT1 utilizza e-mail di spearphishing contenenti allegati o link dannosi per stabilire un punto d'appoggio all'interno di una rete.

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.
Escalation dei privilegi

Il gruppo sfrutta le vulnerabilità e utilizza strumenti come Mimikatz per ottenere privilegi elevati.

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.
Difesa Evasione

Utilizzano tattiche di mascheramento, ad esempio dando al malware il nome di processi legittimi.

Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.
Accesso alle credenziali

APT1 ha scaricato le credenziali dalla memoria di LSASS utilizzando strumenti come Mimikatz.

Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.
Scoperta

Comandi come elenco di attività, utente della rete, e ipconfig /all vengono utilizzati per mappare la rete e il sistema della vittima.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.
Movimento laterale

Strumenti come RDP consentono di spostarsi tra i sistemi della rete.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.
Collezione

Utilizzano script automatici e strumenti come GETMAIL per raccogliere e-mail e altri file di valore.

Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.
Esecuzione

L'APT1 si affida alla shell di comando di Windows e allo scripting batch per l'automazione.

Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.
Esfiltrazione

I dati raccolti vengono spesso compressi con RAR prima dell'esfiltrazione.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.
Impatto

Sofisticate tecniche di evasione hanno permesso ad APT1 di rubare grandi quantità di proprietà intellettuale, catturando ben 6,5 terabyte di dati compressi da una singola organizzazione nell'arco di dieci mesi.

MITRE ATT&CK Mappatura

TTP APT1

TA0001: Initial Access
T1566
Phishing
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
No items found.
TA0005: Defense Evasion
T1550
Use Alternate Authentication Material
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1087
Account Discovery
T1049
System Network Connections Discovery
T1016
System Network Configuration Discovery
TA0008: Lateral Movement
T1550
Use Alternate Authentication Material
T1021
Remote Services
TA0009: Collection
T1560
Archive Collected Data
T1119
Automated Collection
T1114
Email Collection
TA0011: Command and Control
No items found.
TA0010: Exfiltration
No items found.
TA0040: Impact
No items found.
Rilevamenti della piattaforma

Come rilevare minacce come APT1 con Vectra AI

Migliaia di organizzazioni aziendali si affidano a potenti rilevamenti guidati dall'intelligenza artificiale per individuare e bloccare gli attacchi prima che sia troppo tardi.

RDP Recon

Suspicious Remote Desktop Protocol

Suspicious Remote Execution

Visualizza altri rilevamenti
Valutare l'esposizione agli attacchi

La vostra organizzazione è al sicuro dagli attacchi APT1?

Valutare l'esposizione agli attacchi

DOMANDE FREQUENTI

Che cos'è l'APT1?

Chi c'è dietro l'APT1?

Qual è l'obiettivo primario dell'APT1?

Quali strumenti e tecniche utilizza APT1?

Per quanto tempo APT1 rimane tipicamente in una rete?

Quali sono le industrie più a rischio?

Qual è il ruolo delle infrastrutture nelle operazioni di APT1?

Quali sono le implicazioni di un attacco APT?

Qual è il modo migliore per prevenire gli attacchi APT?

Come possono le organizzazioni rilevare e fermare gli attacchi APT?