APT1
L'APT era un gruppo sponsorizzato dallo Stato noto per aver rubato enormi quantità di dati da grandi aziende e agenzie governative. Sebbene sia stato smascherato dalla ricerca sulla cybersicurezza, si ritiene che le tattiche di questo attore di minacce siano utilizzate ancora oggi.
L'origine di APT1
L'APT1 è stato osservato per la prima volta nel 2006 ed è stato attribuito all'Esercito Popolare di Liberazione (PLA) della Cina. Si tratta di uno dei gruppi di attacco nazionale più prolifici al mondo, che ha utilizzato tecniche sofisticate per eludere il rilevamento e rubare centinaia di terabyte di dati da oltre 140 organizzazioni nel corso di sette anni.
Il gruppo ha operato fino al febbraio 2013, quando ha iniziato a limitare i suoi attacchi dopo essere stato smascherato da un rapporto di ricerca approfondito sulla sicurezza informatica. Da allora, le aziende di software per la sicurezza hanno identificato attacchi che ripropongono alcune delle tecniche originali dell'APT1.
Fonti: Mandiant, SecurityWeek,,OCD
Obiettivi
Obiettivi di APT1
Paesi presi di mira da APT1
Industrie prese di mira da APT1
L'APT1 è probabilmente all'origine degli attacchi che hanno preso di mira organizzazioni di un'ampia gamma di settori con infrastrutture critiche, tra cui agenzie governative, aziende globali e appaltatori della difesa.
Industrie prese di mira da APT1
L'APT1 è probabilmente all'origine degli attacchi che hanno preso di mira organizzazioni di un'ampia gamma di settori con infrastrutture critiche, tra cui agenzie governative, aziende globali e appaltatori della difesa.
Vittime di APT1
Si ritiene che APT1 abbia rubato centinaia di terabyte di dati da almeno 141 organizzazioni, dimostrando la capacità di rubare da decine di organizzazioni contemporaneamente.
Fonte: Mandiant
Metodo di attacco
Metodo di attacco APT1
APT1 utilizza e-mail di spearphishing contenenti allegati o link dannosi per stabilire un punto d'appoggio all'interno di una rete.
Il gruppo sfrutta le vulnerabilità e utilizza strumenti come Mimikatz per ottenere privilegi elevati.
Utilizzano tattiche di mascheramento, ad esempio dando al malware il nome di processi legittimi.
APT1 ha scaricato le credenziali dalla memoria di LSASS utilizzando strumenti come Mimikatz.
Comandi come elenco di attività, utente della rete, e ipconfig /all vengono utilizzati per mappare la rete e il sistema della vittima.
Strumenti come RDP consentono di spostarsi tra i sistemi della rete.
Utilizzano script automatici e strumenti come GETMAIL per raccogliere e-mail e altri file di valore.
L'APT1 si affida alla shell di comando di Windows e allo scripting batch per l'automazione.
I dati raccolti vengono spesso compressi con RAR prima dell'esfiltrazione.
Sofisticate tecniche di evasione hanno permesso ad APT1 di rubare grandi quantità di proprietà intellettuale, catturando ben 6,5 terabyte di dati compressi da una singola organizzazione nell'arco di dieci mesi.
Accesso iniziale
APT1 utilizza e-mail di spearphishing contenenti allegati o link dannosi per stabilire un punto d'appoggio all'interno di una rete.
Escalation dei privilegi
Il gruppo sfrutta le vulnerabilità e utilizza strumenti come Mimikatz per ottenere privilegi elevati.
Difesa Evasione
Utilizzano tattiche di mascheramento, ad esempio dando al malware il nome di processi legittimi.
Accesso alle credenziali
APT1 ha scaricato le credenziali dalla memoria di LSASS utilizzando strumenti come Mimikatz.
Scoperta
Comandi come elenco di attività, utente della rete, e ipconfig /all vengono utilizzati per mappare la rete e il sistema della vittima.
Movimento laterale
Strumenti come RDP consentono di spostarsi tra i sistemi della rete.
Collezione
Utilizzano script automatici e strumenti come GETMAIL per raccogliere e-mail e altri file di valore.
Esecuzione
L'APT1 si affida alla shell di comando di Windows e allo scripting batch per l'automazione.
Esfiltrazione
I dati raccolti vengono spesso compressi con RAR prima dell'esfiltrazione.
Impatto
Sofisticate tecniche di evasione hanno permesso ad APT1 di rubare grandi quantità di proprietà intellettuale, catturando ben 6,5 terabyte di dati compressi da una singola organizzazione nell'arco di dieci mesi.
MITRE ATT&CK Mappatura
TTP APT1
TA0001: Initial Access
T1566
Phishing
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
No items found.
TA0005: Defense Evasion
T1550
Use Alternate Authentication Material
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1087
Account Discovery
T1049
System Network Connections Discovery
T1016
System Network Configuration Discovery
TA0008: Lateral Movement
T1550
Use Alternate Authentication Material
T1021
Remote Services
TA0009: Collection
T1560
Archive Collected Data
T1119
Automated Collection
T1114
Email Collection
T1005
Data from Local System
TA0011: Command and Control
No items found.
TA0010: Exfiltration
No items found.
TA0040: Impact
No items found.
Rilevamenti della piattaforma
Come rilevare minacce come APT1 con Vectra AI
Migliaia di organizzazioni aziendali si affidano a potenti rilevamenti guidati dall'intelligenza artificiale per individuare e bloccare gli attacchi prima che sia troppo tardi.
DOMANDE FREQUENTI
Che cos'è l'APT1?
APT1 è una minaccia persistente avanzata (APT) con origini in Cina. Si ritiene che sia uno dei gruppi di attacco da parte di uno Stato-nazione più prolifici di tutti i tempi, in base alla quantità di dati rubati.
Chi c'è dietro l'APT1?
Si ritiene che APT1 sia legato all'Esercito Popolare di Liberazione (PLA) della Cina. Anche se non si tratta di un'entità ufficiale del governo cinese, la maggior parte dei ricercatori di sicurezza informatica ritiene che il governo fosse almeno a conoscenza delle sue operazioni.
Qual è l'obiettivo primario dell'APT1?
L'APT1 si concentra sullo spionaggio informatico, rubando proprietà intellettuale e dati sensibili per favorire gli interessi strategici della Cina.
Quali strumenti e tecniche utilizza APT1?
L'APT1 è noto per l'utilizzo di tattiche, tecniche e procedure (TTP) avanzate per eludere il rilevamento e mantenere una presenza persistente sulle reti delle sue vittime. Queste vanno dagli attacchi di spear phishing al Remote Desktop Protocol.
Per quanto tempo APT1 rimane tipicamente in una rete?
Spesso mantengono l'accesso per periodi prolungati, sfruttando le loro tecniche di persistenza.
Quali sono le industrie più a rischio?
I settori aerospaziale, della difesa e delle telecomunicazioni sono obiettivi prioritari per l'APT1.
Qual è il ruolo delle infrastrutture nelle operazioni di APT1?
L'APT1 registra e dirotta i domini per il phishing, il comando e il controllo e l'esfiltrazione dei dati.
Quali sono le implicazioni di un attacco APT?
Una volta che un APT aggira gli strumenti di prevenzione della sicurezza, gli aggressori utilizzano tecniche altamente sofisticate per avanzare nella rete e ottenere l'accesso agli account privilegiati. L'APT1 era particolarmente abile nell'eludere il rilevamento, consentendo al gruppo di rimanere inosservato per mesi o addirittura anni. Il risultato è un'enorme quantità di dati rubati.
Qual è il modo migliore per prevenire gli attacchi APT?
Sebbene sia impossibile prevenire al 100%, le misure di sicurezza possono aiutare a tenere a bada gli attacchi APT. Tra queste, l'imposizione di password forti, la formazione dei dipendenti sui pericoli del phishing e i protocolli di autenticazione.
Come possono le organizzazioni rilevare e fermare gli attacchi APT?
Una volta che un attacco APT ha aggirato gli strumenti di prevenzione, il rilevamento in tempo reale è essenziale. Il modo migliore per individuare e bloccare gli aggressori è quello di utilizzare rilevamenti basati sull'intelligenza artificiale, progettati per identificare le tattiche, le tecniche e le procedure più recenti e per separare le attività semplicemente sospette dalle vere minacce.