Bollettino dei cyberattacchi: In che modo gli attori delle minacce utilizzano i certificati EV

Bollettino dei cyberattacchi: In che modo gli attori delle minacce utilizzano i certificati EV

Vectra AI Giappone, ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icona dell'hamburger in alto
Icona dell'hamburger linea centrale
Icona dell'hamburger linea di fondo
  1. cybercriminels
    >
  2. Stato-Nazione Attore

APT1

L'APT era un gruppo sponsorizzato dallo Stato noto per aver rubato enormi quantità di dati da grandi aziende e agenzie governative. Sebbene sia stato smascherato dalla ricerca sulla cybersicurezza, si ritiene che le tattiche di questo attore di minacce siano utilizzate ancora oggi.

Rilevare le TTP di APT1
La vostra organizzazione è al sicuro dagli attacchi APT1?
Contesto e obiettivi
TTP
Mappatura MITRE
Rilevamento
DOMANDE FREQUENTI
Guarda il Briefing sulle minacce
CONTESTO
PAESI
INDUSTRIE
VITTIME

L'origine di APT1

L'APT1 è stato osservato per la prima volta nel 2006 ed è stato attribuito all'Esercito Popolare di Liberazione (PLA) della Cina. Si tratta di uno dei gruppi di attacco nazionale più prolifici al mondo, che ha utilizzato tecniche sofisticate per eludere il rilevamento e rubare centinaia di terabyte di dati da oltre 140 organizzazioni nel corso di sette anni.

Il gruppo ha operato fino al febbraio 2013, quando ha iniziato a limitare i suoi attacchi dopo essere stato smascherato da un rapporto di ricerca approfondito sulla sicurezza informatica. Da allora, le aziende di software per la sicurezza hanno identificato attacchi che ripropongono alcune delle tecniche originali dell'APT1.

Fonti: Mandiant, SecurityWeek,,OCD

Paesi presi di mira da APT1

Secondo Mandiant, la società dietro il rapporto che ha smascherato l'APT1, l'87% delle aziende prese di mira dal gruppo si trovano in Paesi di lingua inglese. In particolare, il gruppo è stato collegato agli hackeraggi di successo di oltre 100 aziende statunitensi.

Fonti: Mandiant, Wired

Industrie prese di mira da APT1

L'APT1 è probabilmente all'origine degli attacchi che hanno preso di mira organizzazioni di un'ampia gamma di settori con infrastrutture critiche, tra cui agenzie governative, aziende globali e appaltatori della difesa.

Vittime di APT1

Si ritiene che APT1 abbia rubato centinaia di terabyte di dati da almeno 141 organizzazioni, dimostrando la capacità di rubare da decine di organizzazioni contemporaneamente.

Fonte: Mandiant

Metodo di attacco

Metodo di attacco APT1

Accesso iniziale
Escalation dei privilegi
Difesa Evasione
Accesso alle credenziali
Scoperta
Movimento laterale
Collezione
Esecuzione
Esfiltrazione
Impatto
Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.

APT1 utilizza e-mail di spearphishing contenenti allegati o link dannosi per stabilire un punto d'appoggio all'interno di una rete.

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.

Il gruppo sfrutta le vulnerabilità e utilizza strumenti come Mimikatz per ottenere privilegi elevati.

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.

Utilizzano tattiche di mascheramento, ad esempio dando al malware il nome di processi legittimi.

Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.

APT1 ha scaricato le credenziali dalla memoria di LSASS utilizzando strumenti come Mimikatz.

Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.

Comandi come elenco di attività, utente della rete, e ipconfig /all vengono utilizzati per mappare la rete e il sistema della vittima.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.

Strumenti come RDP consentono di spostarsi tra i sistemi della rete.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.

Utilizzano script automatici e strumenti come GETMAIL per raccogliere e-mail e altri file di valore.

Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.

L'APT1 si affida alla shell di comando di Windows e allo scripting batch per l'automazione.

Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.

I dati raccolti vengono spesso compressi con RAR prima dell'esfiltrazione.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.

Sofisticate tecniche di evasione hanno permesso ad APT1 di rubare grandi quantità di proprietà intellettuale, catturando ben 6,5 terabyte di dati compressi da una singola organizzazione nell'arco di dieci mesi.

Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.
Accesso iniziale

APT1 utilizza e-mail di spearphishing contenenti allegati o link dannosi per stabilire un punto d'appoggio all'interno di una rete.

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.
Escalation dei privilegi

Il gruppo sfrutta le vulnerabilità e utilizza strumenti come Mimikatz per ottenere privilegi elevati.

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.
Difesa Evasione

Utilizzano tattiche di mascheramento, ad esempio dando al malware il nome di processi legittimi.

Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.
Accesso alle credenziali

APT1 ha scaricato le credenziali dalla memoria di LSASS utilizzando strumenti come Mimikatz.

Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.
Scoperta

Comandi come elenco di attività, utente della rete, e ipconfig /all vengono utilizzati per mappare la rete e il sistema della vittima.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.
Movimento laterale

Strumenti come RDP consentono di spostarsi tra i sistemi della rete.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.
Collezione

Utilizzano script automatici e strumenti come GETMAIL per raccogliere e-mail e altri file di valore.

Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.
Esecuzione

L'APT1 si affida alla shell di comando di Windows e allo scripting batch per l'automazione.

Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.
Esfiltrazione

I dati raccolti vengono spesso compressi con RAR prima dell'esfiltrazione.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.
Impatto

Sofisticate tecniche di evasione hanno permesso ad APT1 di rubare grandi quantità di proprietà intellettuale, catturando ben 6,5 terabyte di dati compressi da una singola organizzazione nell'arco di dieci mesi.

MITRE ATT&CK Mappatura

TTP APT1

TA0001: Initial Access
T1566
Phishing
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
No items found.
TA0005: Defense Evasion
T1550
Use Alternate Authentication Material
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1087
Account Discovery
T1049
System Network Connections Discovery
T1016
System Network Configuration Discovery
TA0008: Lateral Movement
T1550
Use Alternate Authentication Material
T1021
Remote Services
TA0009: Collection
T1560
Archive Collected Data
T1119
Automated Collection
T1114
Email Collection
TA0011: Command and Control
No items found.
TA0010: Exfiltration
No items found.
TA0040: Impact
No items found.
Rilevamenti della piattaforma

Come rilevare minacce come APT1 con Vectra AI

Migliaia di organizzazioni aziendali si affidano a potenti rilevamenti guidati dall'intelligenza artificiale per individuare e bloccare gli attacchi prima che sia troppo tardi.

RDP Recon

Suspicious Remote Desktop Protocol

Suspicious Remote Execution

Visualizza altri rilevamenti
Valutare l'esposizione agli attacchi

DOMANDE FREQUENTI

Che cos'è l'APT1?

APT1 è una minaccia persistente avanzata (APT) con origini in Cina. Si ritiene che sia uno dei gruppi di attacco da parte di uno Stato-nazione più prolifici di tutti i tempi, in base alla quantità di dati rubati.

Chi c'è dietro l'APT1?

Si ritiene che APT1 sia legato all'Esercito Popolare di Liberazione (PLA) della Cina. Anche se non si tratta di un'entità ufficiale del governo cinese, la maggior parte dei ricercatori di sicurezza informatica ritiene che il governo fosse almeno a conoscenza delle sue operazioni.

Qual è l'obiettivo primario dell'APT1?

L'APT1 si concentra sullo spionaggio informatico, rubando proprietà intellettuale e dati sensibili per favorire gli interessi strategici della Cina.

Quali strumenti e tecniche utilizza APT1?

L'APT1 è noto per l'utilizzo di tattiche, tecniche e procedure (TTP) avanzate per eludere il rilevamento e mantenere una presenza persistente sulle reti delle sue vittime. Queste vanno dagli attacchi di spear phishing al Remote Desktop Protocol.

Per quanto tempo APT1 rimane tipicamente in una rete?

Spesso mantengono l'accesso per periodi prolungati, sfruttando le loro tecniche di persistenza.

Quali sono le industrie più a rischio?

I settori aerospaziale, della difesa e delle telecomunicazioni sono obiettivi prioritari per l'APT1.

Qual è il ruolo delle infrastrutture nelle operazioni di APT1?

L'APT1 registra e dirotta i domini per il phishing, il comando e il controllo e l'esfiltrazione dei dati.

Quali sono le implicazioni di un attacco APT?

Una volta che un APT aggira gli strumenti di prevenzione della sicurezza, gli aggressori utilizzano tecniche altamente sofisticate per avanzare nella rete e ottenere l'accesso agli account privilegiati. L'APT1 era particolarmente abile nell'eludere il rilevamento, consentendo al gruppo di rimanere inosservato per mesi o addirittura anni. Il risultato è un'enorme quantità di dati rubati.

Qual è il modo migliore per prevenire gli attacchi APT?

Sebbene sia impossibile prevenire al 100%, le misure di sicurezza possono aiutare a tenere a bada gli attacchi APT. Tra queste, l'imposizione di password forti, la formazione dei dipendenti sui pericoli del phishing e i protocolli di autenticazione.

Come possono le organizzazioni rilevare e fermare gli attacchi APT?

Una volta che un attacco APT ha aggirato gli strumenti di prevenzione, il rilevamento in tempo reale è essenziale. Il modo migliore per individuare e bloccare gli aggressori è quello di utilizzare rilevamenti basati sull'intelligenza artificiale, progettati per identificare le tattiche, le tecniche e le procedure più recenti e per separare le attività semplicemente sospette dalle vere minacce.   

La vostra organizzazione è al sicuro dagli attacchi APT1?

Valutare l'esposizione agli attacchi