APT1
APTは、大企業や政府機関から大量のデータを盗み出すことで知られる国家支援グループであった。サイバーセキュリティの研究によってエクスポージャーされたものの、この脅威アクターの手口は今日でも使われていると考えられている。
APT1の起源
APT1は2006年に初めて観測され、中国の人民解放軍(PLA)に起因するとされてきた。世界で最も多発する国家攻撃グループの1つであり、高度なテクニックを駆使して検知を逃れ、7年間で140以上の組織から数百テラバイトのデータを盗み出しました。
同グループは2013年2月まで活動していたが、サイバーセキュリティに関する詳細な調査報告書によってエクスポージャーされた後、攻撃を抑制し始めた。それ以来、セキュリティ・ソフトウェア会社は、APT1のオリジナルのテクニックの一部を再利用した攻撃を確認している。
情報源 マンディアント, SecurityWeek,、OCD
ターゲット
APT1の標的
APT1が標的とする産業
APT1は、政府機関、グローバル企業、防衛関連企業など、重要なインフラを持つ幅広い業界の組織を標的とした攻撃の背後にいた可能性が高い。
APT1が標的とする産業
APT1は、政府機関、グローバル企業、防衛関連企業など、重要なインフラを持つ幅広い業界の組織を標的とした攻撃の背後にいた可能性が高い。
APT1犠牲者
APT1は、少なくとも141の組織から数百テラバイトのデータを盗んだとみられ、数十の組織から同時に盗む能力を示している。
ソース マンディアント
攻撃方法
APT1の攻撃手法
APT1は、悪意のある添付ファイルやリンクを含むスピアフィッシング・メールを使用して、ネットワーク内に足がかりを築く。
このグループは脆弱性を悪用し、Mimikatzのようなツールを使って昇格した権限を得る。
malware 正規のプロセスの名前を付けるなど、仮装の手口を使う。
APT1はMimikatzのようなツールを使ってLSASSのメモリから認証情報をダンプした。
などのコマンドがある。 タスクリスト, ネットユーザそして ipconfig /all は、被害者のネットワークとシステムをマッピングするために使用される。
RDPのようなツールは、ネットワーク内のシステム間の移動を可能にする。
自動化されたスクリプトやGETMAILのようなツールを使って、電子メールやその他の貴重なファイルを収集する。
APT1は自動化のためにWindowsコマンドシェルとバッチスクリプトに依存している。
収集されたデータは、多くの場合、流出前にRARを使用して圧縮される。
洗練された回避技術により、APT1は大量の知的財産を盗むことができ、10カ月間にわたって1つの組織から6.5テラバイトもの圧縮データを取得した。
初期アクセス
APT1は、悪意のある添付ファイルやリンクを含むスピアフィッシング・メールを使用して、ネットワーク内に足がかりを築く。
特権エスカレーション
このグループは脆弱性を悪用し、Mimikatzのようなツールを使って昇格した権限を得る。
防御回避
malware 正規のプロセスの名前を付けるなど、仮装の手口を使う。
クレデンシャル・アクセス
APT1はMimikatzのようなツールを使ってLSASSのメモリから認証情報をダンプした。
ディスカバリー
などのコマンドがある。 タスクリスト, ネットユーザそして ipconfig /all は、被害者のネットワークとシステムをマッピングするために使用される。
横の動き
RDPのようなツールは、ネットワーク内のシステム間の移動を可能にする。
コレクション
自動化されたスクリプトやGETMAILのようなツールを使って、電子メールやその他の貴重なファイルを収集する。
実行
APT1は自動化のためにWindowsコマンドシェルとバッチスクリプトに依存している。
データ流出
収集されたデータは、多くの場合、流出前にRARを使用して圧縮される。
インパクト
洗練された回避技術により、APT1は大量の知的財産を盗むことができ、10カ月間にわたって1つの組織から6.5テラバイトもの圧縮データを取得した。
MITRE ATT&CK マッピング
APT1 TTPs
TA0001: Initial Access
T1566
Phishing
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
No items found.
TA0005: Defense Evasion
T1550
Use Alternate Authentication Material
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1087
Account Discovery
T1049
System Network Connections Discovery
T1016
System Network Configuration Discovery
TA0008: Lateral Movement
T1550
Use Alternate Authentication Material
T1021
Remote Services
TA0009: Collection
T1560
Archive Collected Data
T1119
Automated Collection
T1114
Email Collection
T1005
Data from Local System
TA0011: Command and Control
No items found.
TA0010: Exfiltration
No items found.
TA0040: Impact
No items found.
プラットフォーム検出
Vectra AIでAPT1のような脅威を検知 方法
何千もの企業組織が、手遅れになる前に攻撃を発見し阻止するために、強力なAI主導 検知に依存しています。
よくあるご質問(FAQ)
APT1の黒幕は誰か?
APT1は中国人民解放軍(PLA)と結びついていると考えられている。中国政府の正式な組織でなかったとしても、ほとんどのサイバーセキュリティ研究者は、政府が少なくともその活動を認識していたと考えている。
APT1の主な目的は何ですか?
APT1は、中国の戦略的利益のために知的財産や機密データを盗む、サイバースパイ活動に重点を置いている。
APT1はどのようなツールやテクニックを使っているのか?
APT1は、高度な戦術、技術、手順(TTP)を使用して検知を回避し、被害者のネットワーク上で永続的な存在を維持することで知られています。これらは、phishing 攻撃からリモートデスクトッププロトコルまで多岐にわたります。
APT1は通常どれくらいの期間ネットワークに留まるのか?
彼らはしばしば、永続的なテクニックを駆使して、アクセスを長期間維持する。
最もリスクが高いのはどの業界か?
航空宇宙、防衛、通信は、APT1にとって優先順位の高いターゲットである。
APT1のオペレーションにおけるインフラの役割とは?
APT1はphishing、コマンド&コントロール、データ流出のためにドメインを登録し、乗っ取る。
APT攻撃の影響とは?
APTがセキュリティ防御ツールを回避すると、攻撃者は高度に洗練されたテクニックを駆使してネットワーク内を進み、特権アカウントへのアクセスを獲得する。APT1は特に検知を回避することに長けており、数カ月から数年にわたり検知されない状態が続きました。その結果、大量のデータが盗まれることになります。
APT攻撃を防ぐ最善の方法とは?
100%の防止は不可能だが、セキュリティ対策はAPT攻撃を抑えるのに役立つ。これには、強力なパスワードの強制、phishing危険性に関する従業員教育、認証プロトコルなどが含まれる。
組織はどのようにしてAPT攻撃を検知 し、阻止できるのか?
APT攻撃が防止ツールを迂回したら、リアルタイムの検知が不可欠です。攻撃者を発見し、阻止する最善の方法は、最新の戦術、テクニック、手順を識別し、単なる疑わしい活動と真の脅威を分離するように設計されたAI主導 検出です。