Advanced Persistent Threats (APTs)

APT41

Mögliche Attribution: China

Zielsektoren: APT41 hat bereits seit 2012 Unternehmen in mindestens 14 Ländern direkt angegriffen. Die Spionagekampagnen der Gruppe zielten auf das Gesundheitswesen, die Telekommunikationsbranche und den Hightech-Sektor ab und beinhalten in der Vergangenheit auch den Diebstahl geistigen Eigentums. Ihre Cyberkriminalität ist bei den Angriffen der Videospielbranche am offensichtlichsten, einschließlich der Manipulation virtueller Währungen und der versuchten Implementierung von Ransomware. Angriffe von APT41 gegen Hochschulen, Reisedienstleistungen und Nachrichten-/Medienfirmen weisen darauf hin, dass die Gruppe auch Einzelpersonen verfolgt und Überwachungsprozesse durchführt.

Übersicht: APT41 ist eine aktive Cyberbedrohungen-Gruppe, die neben finanziell motivierten, potenziell außerhalb der staatlichen Kontrolle befindlichen Aktivitäten auch staatlich gesponserte chinesische Cyberspionagekampagnen durchführt.

Zugehörige Malware: APT41 wurde nachweislich mit mindestens 46 verschiedenen Codefamilien und Tools verwendet.

Angriffsvektoren: APT41 nutzt häufig Spear-Phishing-E-Mails mit Anhängen wie kompilierten HTML-Dateien (.chm), um ihre Opfer zu hacken. Wenn APT41 in einer angegriffenen Organisation angekommen ist, kann sie komplexere TTPs nutzen und zusätzliche Malware installieren. In einer Kampagne, die fast ein Jahr läuft, manipulierte APT41 Hunderte Systeme und verwendete fast 150 einzigartige Malware, darunter Backdoors, Tools für den Diebstahl von Anmeldedaten, Keylogger und Rootkits. Außerdem hat APT41 in begrenztem Umfang Rootkits und MBR-Bootkits (Master Boot Record) implementiert, um ihre Malware zu verbergen und auf ausgewählten Systemen der Opfer stabil zu bleiben.

Zusätzliche Ressourcen

APT40

Mögliche Attribution: China

Zielsektoren: APT40 ist eine chinesische Cyberspionagegruppe, die in der Regel auf Länder abzielt, die für die Belt and Road Initiative strategisch wichtig sind. Obwohl die Gruppe sich an globale Unternehmen richtet – insbesondere solche, die sich auf Entwicklung und Verteidigung konzentrieren, hat sie in der Vergangenheit auch Kampagnen gegen regionale Organisationen in Regionen wie Südostasien durchgeführt. Seit mindestens Januar 2013 hat die Gruppe Kampagnen in einer Reihe von Branchen durchgeführt, darunter Seeziele, Verteidigung, Luftfahrt, Chemikalien, Forschung/Bildung, Regierungs- und Technologieorganisationen.

Übersicht: Mandiant Intelligence ist der Ansicht, dass die Aktivitäten von APT40 im Cyberspace zu den chinesischen Angriffen bei der Modernisierung ihrer Marine passen. Dies zeigt sich auch in groß angelegten Forschungsprojekten an Universitäten und der Beschaffung von Entwürfen für Meeresausrüstung und -fahrzeuge. Die Aktivitäten der Gruppe sind tendenziell auf staatlich geförderte Projekte ausgerichtet und beziehen große Mengen an Informationen ein, die speziell für diese Projekte vorgesehen sind. Dazu gehören Vorschläge, Treffen, Finanzdaten, Informationen zum Versand, Pläne und Zeichnungen sowie Rohdaten.

Zugehörige Malware: APT40 hat nachweislich mindestens 51 verschiedene Codefamilien verwendet. 37 davon sind nicht öffentlich. Mindestens sieben dieser nicht öffentlichen Tools (BADSIGN, FIELDGOAL, FINDLOCK, PHOTO, SCANBOX, SOGU und WIDETONE) stehen anderen vermutlich von China gesponserten Operatoren zur Verfügung.

Angriffsvektoren: APT40 gibt sich in der Regel als bekannte Person aus, die vermutlich Spear-Phishing-E-Mails versenden möchte. Sie dürfen nicht vorgeben, ein Journalist, eine Person aus einer Fachzeitschrift oder eine Person aus einer entsprechenden Militär- oder Nichtregierungsorganisation (NGO) zu sein. In einigen Fällen wurden zuvor manipulierte E-Mail-Adressen verwendet, um Spear-Phishing-E-Mails zu versenden.

Zusätzliche Ressourcen

APT31

Mögliche Attribution: China

Zielsektoren: Mehrere, darunter Behörden, internationale Finanzorganisationen, Luft- und Raumfahrt- und Verteidigungsorganisationen, Hightech-, Bau- und Ingenieurwesen, Telekommunikation, Medien und Versicherungen.

Übersicht: APT31 ist eine von China gesponserte Cyberspionagegruppe, die sich auf die Beschaffung von Informationen konzentriert, die der chinesischen Regierung und den staatlichen Unternehmen politische, wirtschaftliche und militärische Vorteile verschaffen können.

Zugehörige Malware: SOGU, LUCKYBIRD, SLOWGYRO, DUCKFAT

Angriffsvektoren: APT31 hat Sicherheitslücken in Anwendungen wie Java und Adobe Flash ausgenutzt, um die Umgebungen ihrer Opfer zu manipulieren.

APT30

Mögliche Attribution: China

Zielsektoren: Mitglieder der Association of Southeast Asian Nations (ASEAN)

Übersicht: APT30 ist nicht nur für ihre kontinuierliche Aktivität über einen langen Zeitraum bekannt, sondern auch für die erfolgreiche Änderung und Anpassung von Quellcode, um die Tools, Taktiken und Infrastrukturen seit mindestens 2005 beizubehalten. Nachweise zeigen, dass die Gruppe Ziele priorisiert, wahrscheinlich in Schichten in einer kollaborativen Umgebung arbeitet und Malware aus einem kohärenten Entwicklungsplan erstellt. Die Gruppe konnte seit 2005 Netzwerke mit Luftspalt infizieren.

Zugehörige Malware: SHIPSHAPE, SPACESHIP, FLASHFLOOD

Angriffsvektoren: APT30 nutzt verschiedene Tools wie Downloader, Backdoors, einen zentralen Controller und verschiedene Komponenten, mit denen Wechseldatenträger und über Luftspalt zugängliche Netzwerke infiziert werden, um Daten zu stehlen. APT30 registriert regelmäßig seine eigenen DNS-Domains für Malware-CnC-Aktivitäten.

APT27

Mögliche Attribution: China

Zielsektoren: APT27 hat mehrere Unternehmen mit Hauptsitz in der ganzen Welt ins Visier genommen, darunter Nord- und Südamerika, Europa und den Nahen Osten. Diese Organisationen fallen in eine Reihe verschiedener Branchen, darunter Unternehmensdienstleistungen, Hightech, Behörden und Energie. Eine nennenswerte Anzahl sind jedoch in der Luft- und Raumfahrt, in der Transport- und in der Reisebranche zu finden.

Übersicht: Das Ziel von APT27 ist der Diebstahl geistigen Eigentums im Cyberangriff. In der Regel konzentriert sich APT27 auf die Daten und Projekte, die ein bestimmtes Unternehmen in seinem Bereich wettbewerbsfähig machen.

Zugehörige Malware: PANDORA, SOGU, ZXSHELL, GHOST, WIDEBERTH, QUICKPULSE, FLOWERPOT

Angriffsvektoren: APT27 nutzt häufig Spear-Phishing als erste Manipulationsmethode. APT27-Hacker sind nicht dafür bekannt, ihre ursprünglichen Zero-Day-Exploits zu nutzen, aber sie könnten sie ausnutzen, sobald sie veröffentlicht wurden. In mindestens einem Fall sendeten APT27-Hacker über ein gehacktes Konto einer betroffenen Organisation Spear-Phishing-E-Mails an andere Opfer in ähnlichen Branchen. Darüber hinaus könnte APT27 anfällige Webanwendungen kompromittieren, um sich anfangs Fuß zu fassen.

APT26

Mögliche Attribution: China

Zielsektoren: Luft- und Raumfahrt, Verteidigung, Energiesektor usw.

Übersicht: Das Ziel von APT26 ist der Diebstahl geistigen Eigentums im Cyberangriff. In der Regel konzentriert sich APT26 auf die Daten und Projekte, die ein bestimmtes Unternehmen in seinem Bereich wettbewerbsfähig machen.

Zugehörige Malware: SOGU, HTRAN, POSTSIZE, TWOCHAINS, BEACON

Angriffsvektoren: Die Gruppe nutzt häufig strategische Manipulationen des Internets, um sich Zugriff auf Zielnetzwerke und benutzerdefinierte Backdoors zu verschaffen, sobald sie sich in der Umgebung des Opfers befinden.

APT25

Alias: Uncool, Vixen Panda, Ke3chang, Sushi Roll, Tor

Mögliche Attribution: China

Zielsektoren: Rüstungsindustrie, Medien, Finanzdienstleistungen und Transportwesen in den USA und Europa.

Übersicht: APT25 betreibt Cyberangriffe, bei denen das Ziel der Datendiebstahl ist.

Zugehörige Malware: LINGBO, PLAYWORK, MADWOFL, MIRAGE, TOUGHROW, TOYSNAKE, SABERTOOTH

Angriffsvektoren: APT25 nutzt in der Vergangenheit Spear-Phishing-Angriffe, darunter Nachrichten mit schädlichen Anhängen und Hyperlinks. APT25-Hacker nutzen in der Regel keine Zero-Day-Exploits, sondern nutzen diese, sobald sie veröffentlicht wurden.

APT24

Auch bekannt als: PittyTiger

Mögliche Attribution: China

Zielsektoren: APT24 hat verschiedene Branchen angegriffen, darunter Organisationen in den Bereichen Regierung, Gesundheitswesen, Bau- und Ingenieurwesen, Bergbau, Nonprofit-Organisationen und Telekommunikationsbranche.

Übersicht: Es ist bekannt, dass diese Gruppe Unternehmen mit Hauptsitz in Ländern wie den USA und Taiwan angreift. APT24 nutzte in der Vergangenheit das RAR-Archivierungsprogramm, um gestohlene Daten zu verschlüsseln und zu komprimieren, bevor sie aus dem Netzwerk übertragen werden. Der Datendiebstahl wurde von diesem Akteur ausgeschleust und konzentrierte sich in erster Linie auf Dokumente von politischer Bedeutung. Dies deutet darauf hin, dass die Absicht darin liegt, die Positionen verschiedener Nationen in Bezug auf den aktuellen territorialen oder souveränen Konflikt Chinas zu überwachen.

Zugehörige Malware: PITTYTIGER, ENFAL, TAIDOOR

Angriffsvektoren: APT24 hat Phishing-E-Mails mit militärischen, erneuerbaren Energien oder Geschäftsstrategien als Köder verwendet. Darüber hinaus ist das Ziel von APT24 im Cyberangriff auf den Diebstahl geistigen Eigentums. In der Regel konzentriert sich APT24 auf die Daten und Projekte, die ein bestimmtes Unternehmen in seinem Bereich wettbewerbsfähig machen.

APT23

Mögliche Attribution: China

Zielsektoren: Medien und Behörden in den USA und auf den Philippinen

Übersicht: APT23 hat Informationen gestohlen, die nichts geistiges Eigentum, sondern politische und militärische Bedeutung sind. Dies deutet darauf hin, dass APT23 zur Unterstützung traditioneller Cyberspionagekampagnen einen Datendiebstahl durchführen könnte.

Zugehörige Malware: NONGMIN

Angriffsvektoren: APT23 hat Spear-Phishing-Nachrichten verwendet, um die Netzwerke der Opfer zu manipulieren, einschließlich bildungsbezogener Phishing-Versuche. Es ist nicht bekannt, dass APT23-Akteure Zero-Day-Exploits einsetzen, aber diese Gruppe hat sie bereits ausgenutzt, sobald sie veröffentlicht wurden.

APT22

Auch bekannt als: Barista

Mögliche Attribution: China

Zielsektoren: breites Spektrum politischer, militärischer und wirtschaftlicher Einrichtungen in Ostasien, Europa und den USA

Übersicht: Wir sind davon überzeugt, dass APT22 mit China verbunden ist und seit mindestens Anfang 2014 im Einsatz ist. Dabei geht es um Angriffe und Angriffe auf Organisationen des öffentlichen und privaten Sektors, einschließlich Dissidenten.

Zugehörige Malware: PISCES, SOGU, FLATNOTE, ANGRYBELL, BASELESS, SEAWOLF, LOGJAM

Angriffsvektoren: APT22-Hacker nutzen strategische Angriffe im Web, um potenzielle Opfer passiv auszunutzen. APT22-Hacker haben außerdem anfällige öffentliche Webserver in den angegriffenen Netzwerken identifiziert und Webshells hochgeladen, um sich Zugriff auf das angegriffene Netzwerk zu verschaffen.

APT21

Auch bekannt als: Zhenbao

Mögliche Attribution: China

Zielsektoren: Behörden

Übersicht: APT21 nutzt in ihren verlockenden Dokumenten Anhänge in russischer Sprache, die sich mit der nationalen Sicherheit befassen. In der Vergangenheit weisen Social-Engineering-Inhalte auf eine Cyberspionage hin, bei der versucht wird, sich unbefugten Zugriff auf privilegierte Informationen zur staatlichen Sicherheit in Russland zu verschaffen. Eine Analyse der APT21-Techniken deutet darauf hin, dass ein weiterer Schwerpunkt von ihnen auf Dissidenten liegt, die größere Autonomie oder Unabhängigkeit von China anstreben, z. B. solche aus Tibet oder Xinjiang.

Zugehörige Malware: SOGU, TEMPFUN, Gh0st, TRAVELNET, HOMEUNIX, ZEROTWO

Angriffsvektoren: APT21 nutzt Spear-Phishing-E-Mails mit schädlichen Anhängen, Links zu schädlichen Dateien oder Webseiten. Die Hacker nutzen außerdem strategische Web-Manipulationen, um potenzielle Opfer anzugreifen. APT21 nutzt häufig zwei Backdoors, TRAVELNET und TEMPFUN. APT21 nutzt in der Regel hauptsächlich benutzerdefinierte Backdoors und nutzt selten öffentlich verfügbare Tools.

APT20

Alias: Twivy

Mögliche Attribution: China

Zielsektoren: Bau- und Ingenieurwesen, Gesundheitswesen, gemeinnützige Organisationen, Verteidigungsindustrie sowie chemische Forschungs- und Produktionsunternehmen.

Übersicht: APT20 führt Cyberangriffe durch, deren Ziel es ist, Daten zu stehlen. APT20 verfolgt Diebstahl geistigen Eigentums, scheint aber auch daran interessiert zu sein, Daten von Personen mit bestimmten politischen Interessen zu stehlen oder deren Aktivitäten zu überwachen. Basierend auf den verfügbaren Daten gehen wir davon aus, dass es sich um eine freiberuflich tätige Gruppe mit staatlich gesponsertem Sitz in China handelt.

Zugehörige Malware: QIAC, SOGU, Gh0st, ZXSHELL, Poison Ivy, BEACON, HOMEUNIX, STEW

Angriffsvektoren: APT20 setzt strategische Angriffe auf das Internet ein und gibt Aufschluss über mögliche Ziele. Viele der SWCs von APT20 wurden auf Websites gehostet (einschließlich chinesischsprachiger Websites), auf denen es um Themen wie Demokratie, Menschenrechte, Pressefreiheit und ethnische Minderheiten in China geht.

APT19

Alias: Codoso-Team

Mögliche Attribution: China

Zielsektoren: Recht und Investment

Übersicht: Eine Gruppe besteht wahrscheinlich aus freiberuflichen Designschaffenden, die in gewissem Umfang von der chinesischen Regierung unterstützt werden.

Zugehörige Malware: BEACON, COBALTSTRIKE

Angriffsvektoren: 2017 nutzte APT19 drei verschiedene Techniken, um Ziele zu kompromittieren. Anfang Mai nutzten die Phishing-Leute RTF-Anhänge, die die in CVE 2017-0199 beschriebene Microsoft Windows-Sicherheitslücke ausnutzen. Ende Mai wechselte APT19 dazu, Microsoft Excel-Dateien (XLSM) mit Makrofunktionen zu verwenden. In den neuesten Versionen fügte APT19 für die XLSM-Dokumente eine Umgehung der weißen Liste für Anwendungen hinzu. Mindestens ein beobachteter Phishing-Verlocker hat einen Cobalt Strike-Schadcode übertragen.

APT18

Alias: Wekby

Mögliche Attribution: China

Zielsektoren: Luft- und Raumfahrt und Verteidigung, Baugewerbe und Ingenieurwesen, Bildung, Gesundheit und Biotechnologie, Hightech, Telekommunikation, Transportwesen

Übersicht: Über diese Gruppe wurde bisher nur sehr wenig öffentlich veröffentlicht.

Zugehörige Malware: Gh0st RAT

Angriffsvektoren: Häufig entwickelte oder angepasste Zero-Day-Exploits für Betriebsabläufe, die wahrscheinlich im Voraus geplant wurden. Daten aus Datenlecks des Hacking-Teams, die gezeigt haben, wie die Gruppe Ressourcen verlagern kann (z. B. Ziele auswählen, Infrastruktur vorbereiten, Nachrichten erstellen, Tools aktualisieren), um unerwartete Gelegenheiten wie neu entdeckte Exploits zu nutzen.

Zusätzliche Ressourcen: Blog – Demonstration von Hustle, chinesische APT-Gruppen nutzen Zero-Day-Sicherheitslücken (CVE-2015-5119) nach dem Leak des Hacking-Teams

APT17

Alias: Tailgator Team, Deputy Dog

Mögliche Attribution: China

Zielsektoren: US-Regierungsbehörden und internationale Anwaltskanzleien und IT-Unternehmen

Übersicht: Leitet Netzwerkangriffe gegen Zielorganisationen durch.

Zugehörige Malware: BLACKCOFFEE

Angriffsvektoren: Die Hackergruppe nutzte die Möglichkeit, Profile zu erstellen und in Foren zu posten, um codiertes CnC zur Verwendung mit einer Variante der verwendeten Malware einzubetten. Diese Technik kann es Netzwerksicherheitsexperten erschweren, den tatsächlichen Standort des CnC zu bestimmen, und es ermöglicht, dass die CnC-Infrastruktur über einen längeren Zeitraum aktiv bleibt.

APT16

Mögliche Attribution: China

Zielsektoren: Japanische und taiwanesische Unternehmen in der Hightech-, staatlichen-, Medien- und Finanzdienstleistungsbranche

Übersicht: In China ansässige Gruppe, die sich mit politischen und journalistischen Angelegenheiten in Taiwan befasst

Zugehörige Malware: IRONHALO, ELMER

Angriffsvektoren: Spear-Phishing-E-Mails an taiwanesische Medienorganisationen und Webmail-Adressen. Köder-Dokumente enthielten eine Anleitung zur Registrierung und anschließenden Eintragung von Waren auf einer taiwanesischen Auktionswebsite.

APT15

Mögliche Attribution: China

Zielsektoren: Globale Ziele in den Bereichen Handel, Wirtschaft, Finanzen, Energie und Militär, um die Interessen der chinesischen Regierung zu vertreten.

Übersicht: APT15 hat Unternehmen mit Hauptsitz an mehreren Standorten ins Visier genommen, darunter einige europäische Länder, die USA und Südafrika. APT15-Betreiber teilen Ressourcen wie Backdoors und Infrastruktur mit anderen chinesischen APTs.

Zugehörige Malware: ENFAL, BALDEAGLE, NOISEMAKER, MIRAGE

Angriffsvektoren: APT15 nutzt in der Regel gut ausgearbeitete Spear-Phishing-E-Mails, um Angriffe auf globale Ziele in verschiedenen Sektoren durchzuführen, die für die chinesische Regierung von Interesse sind. APT15 nutzt insbesondere Backdoors und Infrastrukturen, die es nicht nur in der Branche gibt, was die Zuordnung schwierig macht.

APT14

Mögliche Attribution: China

Zielsektoren: Behörden, Telekommunikation sowie Bau- und Ingenieurwesen

Übersicht: APT14 führt Cyberangriffe durch, bei denen das Ziel der Datendiebstahl ist. Der Schwerpunkt liegt dabei auf militärischer und maritimer Ausrüstung, Operationen und Richtlinien. Wir gehen davon aus, dass die gestohlenen Daten, insbesondere die Spezifikationen für Verschlüsselungs- und Satellitenkommunikationsgeräte, dazu verwendet werden könnten, militärische Operationen zu verbessern, z. B. Signale abzufangen oder die militärischen Satellitenkommunikationsnetze anderweitig zu beeinträchtigen.

Zugehörige Malware: Gh0st, POISONIVY, CLUBSEAT, GROOVY

Angriffsvektoren: APT14-Hacker nutzen in der Regel keine Zero-Day-Exploits, nutzen diese aber eventuell aus, sobald sie veröffentlicht wurden. Sie können ein benutzerdefiniertes SMTP-Mailer-Tool verwenden, um Spear-Phishing-Nachrichten zu senden. Phishing-Nachrichten von APT14 haben oft den Anschein, von vertrauenswürdigen Organisationen zu stammen.

APT12

Alias: Calc Team

Mögliche Attribution: China

Zielsektoren: Journalisten, Regierung, Verteidigungsindustrie

Übersicht: Es wird angenommen, dass APT12 eine Cyberspionagegruppe ist, die Verbindungen zur chinesischen Volksbefreiungsarmee hat. Die Ziele von APT12 stimmen mit den größeren Zielen der Volksrepublik China überein. Die von dieser Gruppe durchgeführten Angriffe und Kampagnen stehen im Einklang mit den Zielen und dem eigenen Interesse der Volksrepublik China in Taiwan.

Zugehörige Malware: RIPTIDE, HIGHTIDE, THREBYTE, WATERSPOUT

Angriffsvektoren: Mandiant hat beobachtet, dass APT12 diese Exploits über Phishing-E-Mails von gültigen, aber gehackten Konten sendet. Basierend auf den bisherigen Aktivitäten von APT12 gehen wir davon aus, dass die Hackergruppe weiterhin Phishing als Malware-Übermittlungsmethode nutzt.

Zusätzliche Ressourcen

APT10

Alias: Menupass-Team

Mögliche Attribution: China

Zielsektoren: Bau- und Ingenieurwesen, Luft- und Raumfahrt- und Telekommunikationsunternehmen sowie Regierungen in den USA, Europa und Japan

Übersicht: APT10 ist eine chinesische Cyberspionagegruppe, die Mandiant seit 2009 beobachtet. In der Vergangenheit wurden Bau- und Ingenieurwesen, Luft- und Raumfahrt- und Telekommunikationsunternehmen sowie Regierungen in den USA, Europa und Japan ins Visier genommen. Wir sind der Meinung, dass die Angriffe auf diese Branchen zu den Zielen der nationalen Sicherheit in China beigetragen haben, einschließlich der Beschaffung wertvoller militärischer und Geheiminformationen sowie des Diebstahls vertraulicher Geschäftsdaten zur Unterstützung chinesischer Unternehmen.

Zugehörige Malware: HAYMAKER, SNUGRIDE, BUGJUICE, QUASARRAT

Angriffsvektoren: Zu diesen jüngsten Aktivitäten von APT10 gehörten sowohl herkömmliches Spear-Phishing als auch der Zugriff auf die Netzwerke der Opfer über verwaltete Serviceprovider. (Weitere Informationen zu Infektionen über Dienstanbieter finden Sie unter M-Trends 2016.) APT10-Spea-Pishes sind relativ unausgereift und nutzten .lnk-Dateien in Archiven, Dateien mit doppelten Erweiterungen (z. B. [Redacted]_Group_Meeting_Document_20170222_doc_.exe) und in einigen Fällen einfach identische Lock-Dokumente und schädliche Launcher innerhalb desselben Archivs. Zusätzlich zu den Spear-Phishing-Angriffen hat Mandiant Threat Intelligence beobachtet, wie APT10 über globale Dienstanbieter auf ihre Opfer zugreift.

Zusätzliche Ressourcen

Zusätzliche Ressourcen

APT9

Mögliche Attribution: Basierend auf den verfügbaren Daten gehen wir davon aus, dass es sich um eine freiberuflich tätige Gruppe mit staatlich gesponsertem Sponsoring handelt, möglicherweise aus China.

Zielsektoren: Organisationen mit Hauptsitz in mehreren Ländern und in verschiedenen Branchen wie Gesundheitswesen und Pharmazie, Baugewerbe und Ingenieurwesen sowie Luft- und Raumfahrt und Verteidigung.

Übersicht: APT9 beschäftigt sich mit Cyberangriffen, bei denen das Ziel der Datendiebstahl ist. In der Regel konzentriert sich APT9 auf die Daten und Projekte, die ein bestimmtes Unternehmen in seinem Bereich wettbewerbsfähig machen.

Zugehörige Malware: SOGU, HOMEUNIX, PHOTO, FUNRUN, Gh0st, ZXSHEL

Angriffsvektoren: APT9 war historisch in der Pharma- und Biotechnologiebranche sehr aktiv. Wir haben beobachtet, dass dieser Angreifer Spear-Phishing, gültige Konten und Remote-Dienste für den ersten Zugriff verwendet. Bei mindestens einem Mal beobachtete Mandiant APT9 bei zwei Unternehmen der Biotechnologiebranche und vermutete, dass APT9-APT9-Hacker sich durch eine vertrauenswürdige Beziehung zwischen den beiden Unternehmen Zugang zu einem der Unternehmen verschafft hatten. APT9 nutzen eine breite Palette an Backdoors, darunter öffentlich verfügbare Backdoors und Backdoors, die vermutlich kundenspezifisch sind, aber von mehreren APT-Gruppen genutzt werden.

APT 8

Mögliche Attribution: China

Zielsektoren: Vielfältige Branchen wie Medien und Unterhaltung, Baugewerbe und Ingenieurwesen sowie Luft- und Raumfahrt und Verteidigung.

Übersicht: Das Ziel von APT8 ist der Diebstahl geistigen Eigentums im Cyberangriff. In der Regel konzentriert sich APT8 auf die Daten und Projekte, die ein Unternehmen in seinem Bereich wettbewerbsfähig machen. Wir gehen davon aus, dass es sich um eine freiberuflich tätige Gruppe mit Sitz in China handelt, die in gewissem Umfang von staatlichen Sponsoren unterstützt wird. APT8 hat Unternehmen mit Hauptsitz in mehreren Ländern angegriffen, darunter die USA, Deutschland, das Vereinigte Königreich, Indien und Japan.

Zugehörige Malware: HASH, FLYZAP, GOLFPRO, SAFEPUTT

Angriffsvektoren: APT8-Hacker nutzen oft Spear-Phishing-E-Mails mit schädlichen Anhängen oder Links oder nutzen anfällige, mit dem Internet verbundene Webserver aus, um Zielunternehmen zu manipulieren. Außerdem sendeten APT8-Hacker bei mehreren Angriffen schädliche Links an potenzielle Opfer über Chat- oder Instant-Messaging-Programme.

APT 7

Mögliche Attribution: China

Zielsektoren: Baugewerbe, Ingenieurwesen, Luft- und Raumfahrt sowie Verteidigung und Industrie

Übersicht: Das Ziel von APT7 ist der Diebstahl geistigen Eigentums im Cyberangriff. In der Regel konzentriert sich APT7 auf Daten und Projekte, die ein Unternehmen in seinem Bereich wettbewerbsfähig machen. Es ist bekannt, dass diese Gruppe Unternehmen mit Hauptsitz in den USA und im Vereinigten Königreich angegriffen hat.

Zugehörige Malware: DIGDUG, TRACKS

Angriffsvektoren: APT7-Hacker haben den Zugriff auf ein Unternehmen genutzt, um eine andere Organisation unter demselben Dach zu infiltrieren. Dies ist eine Form der Ausbreitung im Netzwerk, aber in diesem Fall war es auch die erste Angriffsmethode für das zweite Unternehmen.

APT6

Mögliche Attribution: China

Zielsektoren: Transport, Automobil, Bau- und Ingenieurwesen, Telekommunikation, Elektronik, Baugewerbe und Materialien

Übersicht: Das Ziel von APT6 sind Datendiebstahl, höchstwahrscheinlich Daten und Projekte, die ein Unternehmen in seinem Bereich wettbewerbsfähig machen. APT6 zielte auf Unternehmen mit Hauptsitz in den USA und im Vereinigten Königreich ab.

Zugehörige Malware: BELUGA, EXCHAIN, PUPTENT

Angriffsvektoren: APT6 nutzt verschiedene individuelle Backdoors, darunter einige, die von anderen APT-Gruppen oder nur von der Gruppe verwendet werden.

APT 5

Mögliche Attribution: China

Zielsektoren: regionale Telekommunikationsanbieter, in Asien ansässige Mitarbeiter von globalen Telekommunikations- und Technologieunternehmen, Hightech-Fertigung und militärische Anwendungstechnologie in den USA, Europa und Asien.

Übersicht: APT5 ist seit mindestens 2007 aktiv. APT5 hat Unternehmen in mehreren Branchen angegriffen oder angegriffen. Der Fokus liegt jedoch auf Telekommunikations- und Technologieunternehmen, insbesondere auf Informationen zur Satellitenkommunikation. Bereits 2014 stellte Mandiant Incident Response fest, dass APT5 nicht autorisierte Codeänderungen an Dateien im eingebetteten Betriebssystem einer anderen Technologieplattform vornahm. 2015 manipulierte APT5 eine US-amerikanische Telekommunikationsorganisation, die Dienstleistungen und Technologien für private und Regierungsbehörden bereitstellt. Während dieses Angriffs luden die Akteure einige der Router-Images herunter und modifizierten sie, die mit den Netzwerkroutern des Unternehmens verbunden waren. In dieser Zeit stahl APT5 auch Dateien im Zusammenhang mit Militärtechnologie von einer südasiatischen Verteidigungsorganisation. Die beobachteten Dateinamen deuten darauf hin, dass sich die Akteure für Produktspezifikationen, E-Mails zu technischen Produkten, Beschaffungsgebote und -vorschläge und Dokumente zu unbemannten Luftfahrzeugen interessiert haben.

Zugehörige Malware: BRIGHTCREST, SWEETCOLA, SPIRITBOX, PALEJAB, WIDERIM, WINVAULT, HAPPYSAD, BIRDWORLD, FARCRY, CYFREE, FULLSILO, HELLOTHEWORLD, HAZELNUT, GIF89A, SCREENBIND, SHINYFUR, TRUCKBED, LEOUNCIA, FREESWIM, PULLTAB, HIREDHELP, NEDDYHORSE, PITCHFORK, BRIGHTCOMB, ENCORE, TABCTENG, SHORTLEASH, CLEANACT, BRIGHTCYAN, DANCEPARTY, HALFBACK, PUSHBACK, COOLWHIP, LOWBID, TIGHTROPE, DIRTYWORD, AURIGA, KEYFANG, Poison Ivy

Angriffsvektoren: Es scheint sich um eine große Hackergruppe zu handeln, die aus mehreren Untergruppen besteht, oft mit unterschiedlichen Taktiken und Infrastrukturen. Die Gruppe nutzt Malware mit Keylogging-Funktionen, um gezielt Telekommunikationsunternehmen Unternehmensnetzwerke, Mitarbeitende und Führungskräfte anzugreifen. APT5 hat großes Interesse daran gezeigt, Netzwerkgeräte zu manipulieren und die zugrunde liegende Software zu manipulieren, die diese Geräte unterstützt.

APT 4

Alias: Maverick Panda, Sykipot Group, Wisp

Mögliche Attribution: China

Zielsektoren: Luft- und Raumfahrt und Verteidigung, Wirtschaftsingenieurwesen, Elektronik, Automobilbranche, Behörden, Telekommunikation und Transport

Übersicht: APT4 zielt offenbar häufiger auf die DIB-Basis (Defense Industrie) als andere kommerzielle Unternehmen aus. Allerdings ist die Geschichte von APT4 bei gezielten Angriffen sehr umfangreich.

Zugehörige Malware: GETKYS, LIFESAVER, CCHIP, SHYLILT, SWEETTOOTH, PHOTO, SOGO

Angriffsvektoren: APT4-Hacker nutzen häufig Spear-Phishing-Nachrichten aus den Themen der US-Regierung, des Verteidigungsministeriums oder der Verteidigungsbasis der USA. APT4-Akteure können gültigen Content von Websites staatlicher Behörden oder von US-amerikanischen Verteidigungsbehörden in ihren Nachrichtentexten wiederverwenden, um ihnen Legitimität zu verleihen.

APT 3

Alias: UPS-Team

Mögliche Attribution: China

Zielsektoren: Luft- und Raumfahrt und Verteidigung, Baugewerbe und Ingenieurwesen, Hightech, Telekommunikation, Transportwesen

Übersicht: Die in China ansässige Hackergruppe, die Mandiant unter der Bezeichnung APT3 verfolgt, ist eine der raffinierteren Hackergruppen, die Mandiant Threat Intelligence verfolgt. Sie hat in der Vergangenheit browserbasierte Exploits wie z. B. Internet Explorer, Firefox und Adobe Flash Player in der Vergangenheit eingesetzt. Nachdem ein Zielhost erfolgreich ausgenutzt wurde, lädt diese Gruppe schnell die Anmeldedaten aus, wechselt seitlich zu zusätzlichen Hosts und installiert benutzerdefinierte Backdoors. Die CnC-Infrastruktur (Command and Control) von APT3 ist schwer nachzuvollziehen, da sich die Kampagnen kaum überschneiden.

Zugehörige Malware: SHOTPUT, COOKIECUTTER, SOGU

Angriffsvektoren: Die von APT3 verwendeten Phishing-E-Mails sind in der Regel generisch und scheinen beinahe Spam zu sein. Angriffe haben eine nicht gepatchte Schwachstelle bei der Analyse von Flash Video-Dateien (FLV) durch Adobe Flash Player ausgenutzt. Bei diesem Exploit werden gängige Methoden zur Vektorbeschädigung verwendet, um Address Space Layout Randomization (ASLR) zu umgehen, und mithilfe von Return-orientierter Programmierung (ROP), um Data Execution Prevention (DEP) zu umgehen. Ein raffinierter Trick für die ROP-Technik macht das Ausnutzen und Umgehen einiger ROP-Erkennungstechniken einfacher. Shellcode wird in der gepackten Adobe Flash Player-Exploit-Datei zusammen mit einem Schlüssel für die Entschlüsselung gespeichert. Die Nutzlast ist xor-codiert und in einem Bild verborgen.

Zusätzliche Ressourcen

Zusätzliche Ressourcen

APT 2

Mögliche Attribution: China

Zielsektoren: Militär und Luft- und Raumfahrt

Übersicht: Diese Gruppe wurde erstmals 2010 beobachtet. Das Ziel von APT2 ist der Diebstahl geistigen Eigentums. In der Regel konzentriert sich APT2 auf die Daten und Projekte, die ein Unternehmen in seinem Bereich wettbewerbsfähig machen.

Zugehörige Malware: MOOSE, WARP

Angriffsvektoren: Spear-Phishing-E-Mails, die CVE-2012-0158 ausnutzen.

APT 30

Mögliche Attribution: China

Zielsektoren: Mitglieder der Association of Southeast Asian Nations (ASEAN)

Übersicht: APT30 ist nicht nur für ihre kontinuierliche Aktivität über einen langen Zeitraum bekannt, sondern auch für die erfolgreiche Änderung und Anpassung von Quellcode, um die Tools, Taktiken und Infrastrukturen seit mindestens 2005 beizubehalten. Nachweise zeigen, dass die Gruppe Ziele priorisiert, wahrscheinlich in Schichten in einer kollaborativen Umgebung arbeitet und Malware aus einem kohärenten Entwicklungsplan erstellt. Die Gruppe konnte seit 2005 Netzwerke mit Luftspalt infizieren.

Zugehörige Malware: SHIPSHAPE, SPACESHIP, FLASHFLOOD

Angriffsvektoren: APT30 nutzt verschiedene Tools wie Downloader, Backdoors, einen zentralen Controller und verschiedene Komponenten, mit denen Wechseldatenträger und über Luftspalt zugängliche Netzwerke infiziert werden, um Daten zu stehlen. APT30 registriert regelmäßig seine eigenen DNS-Domains für Malware-CnC-Aktivitäten.

APT 27

Mögliche Attribution: China

Zielsektoren: APT27 hat mehrere Unternehmen mit Hauptsitz in der ganzen Welt ins Visier genommen, darunter Nord- und Südamerika, Europa und den Nahen Osten. Diese Organisationen fallen in eine Reihe verschiedener Branchen, darunter Unternehmensdienstleistungen, Hightech, Behörden und Energie. Eine nennenswerte Anzahl sind jedoch in der Luft- und Raumfahrt, in der Transport- und in der Reisebranche zu finden.

Übersicht: Das Ziel von APT27 ist der Diebstahl geistigen Eigentums im Cyberangriff. In der Regel konzentriert sich APT27 auf die Daten und Projekte, die ein bestimmtes Unternehmen in seinem Bereich wettbewerbsfähig machen.

Zugehörige Malware: PANDORA, SOGU, ZXSHELL, GHOST, WIDEBERTH, QUICKPULSE, FLOWERPOT

Angriffsvektoren: APT27 nutzt häufig Spear-Phishing als erste Manipulationsmethode. APT27-Hacker sind nicht dafür bekannt, ihre ursprünglichen Zero-Day-Exploits zu nutzen, aber sie könnten sie ausnutzen, sobald sie veröffentlicht wurden. In mindestens einem Fall sendeten APT27-Hacker über ein gehacktes Konto einer betroffenen Organisation Spear-Phishing-E-Mails an andere Opfer in ähnlichen Branchen. Darüber hinaus könnte APT27 anfällige Webanwendungen kompromittieren, um sich anfangs Fuß zu fassen.

APT 26

Mögliche Attribution: China

Zielsektoren: Luft- und Raumfahrt, Verteidigung, Energiesektor usw.

Übersicht: Das Ziel von APT26 ist der Diebstahl geistigen Eigentums im Cyberangriff. In der Regel konzentriert sich APT26 auf die Daten und Projekte, die ein bestimmtes Unternehmen in seinem Bereich wettbewerbsfähig machen.

Zugehörige Malware: SOGU, HTRAN, POSTSIZE, TWOCHAINS, BEACON

Angriffsvektoren: Die Gruppe nutzt häufig strategische Manipulationen des Internets, um sich Zugriff auf Zielnetzwerke und benutzerdefinierte Backdoors zu verschaffen, sobald sie sich in der Umgebung des Opfers befinden.

APT 25

Alias: Uncool, Vixen Panda, Ke3chang, Sushi Roll, Tor

Mögliche Attribution: China

Zielsektoren: Rüstungsindustrie, Medien, Finanzdienstleistungen und Transportwesen in den USA und Europa.

Übersicht: APT25 betreibt Cyberangriffe, bei denen das Ziel der Datendiebstahl ist.

Zugehörige Malware: LINGBO, PLAYWORK, MADWOFL, MIRAGE, TOUGHROW, TOYSNAKE, SABERTOOTH

Angriffsvektoren: APT25 nutzt in der Vergangenheit Spear-Phishing-Angriffe, darunter Nachrichten mit schädlichen Anhängen und Hyperlinks. APT25-Hacker nutzen in der Regel keine Zero-Day-Exploits, sondern nutzen diese, sobald sie veröffentlicht wurden.

APT 24

Auch bekannt als: PittyTiger

Mögliche Attribution: China

Zielsektoren: APT24 hat verschiedene Branchen angegriffen, darunter Organisationen in den Bereichen Regierung, Gesundheitswesen, Bau- und Ingenieurwesen, Bergbau, Nonprofit-Organisationen und Telekommunikationsbranche.

Übersicht: Es ist bekannt, dass diese Gruppe Unternehmen mit Hauptsitz in Ländern wie den USA und Taiwan angreift. APT24 nutzte in der Vergangenheit das RAR-Archivierungsprogramm, um gestohlene Daten zu verschlüsseln und zu komprimieren, bevor sie aus dem Netzwerk übertragen werden. Der Datendiebstahl wurde von diesem Akteur ausgeschleust und konzentrierte sich in erster Linie auf Dokumente von politischer Bedeutung. Dies deutet darauf hin, dass die Absicht darin liegt, die Positionen verschiedener Nationen in Bezug auf den aktuellen territorialen oder souveränen Konflikt Chinas zu überwachen.

Zugehörige Malware: PITTYTIGER, ENFAL, TAIDOOR

Angriffsvektoren: APT24 hat Phishing-E-Mails mit militärischen, erneuerbaren Energien oder Geschäftsstrategien als Köder verwendet. Darüber hinaus ist das Ziel von APT24 im Cyberangriff auf den Diebstahl geistigen Eigentums. In der Regel konzentriert sich APT24 auf die Daten und Projekte, die ein bestimmtes Unternehmen in seinem Bereich wettbewerbsfähig machen.

APT 23

Mögliche Attribution: China

Zielsektoren: Medien und Behörden in den USA und auf den Philippinen

Übersicht: APT23 hat Informationen gestohlen, die nichts geistiges Eigentum, sondern politische und militärische Bedeutung sind. Dies deutet darauf hin, dass APT23 zur Unterstützung traditioneller Cyberspionagekampagnen einen Datendiebstahl durchführen könnte.

Zugehörige Malware: NONGMIN

Angriffsvektoren: APT23 hat Spear-Phishing-Nachrichten verwendet, um die Netzwerke der Opfer zu manipulieren, einschließlich bildungsbezogener Phishing-Versuche. Es ist nicht bekannt, dass APT23-Akteure Zero-Day-Exploits einsetzen, aber diese Gruppe hat sie bereits ausgenutzt, sobald sie veröffentlicht wurden.

APT 12

Alias: Calc Team

Mögliche Attribution: China

Zielsektoren: Journalisten, Regierung, Verteidigungsindustrie

Übersicht: Es wird angenommen, dass APT12 eine Cyberspionagegruppe ist, die Verbindungen zur chinesischen Volksbefreiungsarmee hat. Die Ziele von APT12 stimmen mit den größeren Zielen der Volksrepublik China überein. Die von dieser Gruppe durchgeführten Angriffe und Kampagnen stehen im Einklang mit den Zielen und dem eigenen Interesse der Volksrepublik China in Taiwan.

Zugehörige Malware: RIPTIDE, HIGHTIDE, THREBYTE, WATERSPOUT

Angriffsvektoren: Mandiant hat beobachtet, dass APT12 diese Exploits über Phishing-E-Mails von gültigen, aber gehackten Konten sendet. Basierend auf den bisherigen Aktivitäten von APT12 gehen wir davon aus, dass die Hackergruppe weiterhin Phishing als Malware-Übermittlungsmethode nutzt.

Zusätzliche Ressourcen

APT 10

Alias: Menupass-Team

Mögliche Attribution: China

Zielsektoren: Bau- und Ingenieurwesen, Luft- und Raumfahrt- und Telekommunikationsunternehmen sowie Regierungen in den USA, Europa und Japan

Übersicht: APT10 ist eine chinesische Cyberspionagegruppe, die Mandiant seit 2009 beobachtet. In der Vergangenheit wurden Bau- und Ingenieurwesen, Luft- und Raumfahrt- und Telekommunikationsunternehmen sowie Regierungen in den USA, Europa und Japan ins Visier genommen. Wir sind der Meinung, dass die Angriffe auf diese Branchen zu den Zielen der nationalen Sicherheit in China beigetragen haben, einschließlich der Beschaffung wertvoller militärischer und Geheiminformationen sowie des Diebstahls vertraulicher Geschäftsdaten zur Unterstützung chinesischer Unternehmen.

Zugehörige Malware: HAYMAKER, SNUGRIDE, BUGJUICE, QUASARRAT

Angriffsvektoren: Zu diesen jüngsten Aktivitäten von APT10 gehörten sowohl herkömmliches Spear-Phishing als auch der Zugriff auf die Netzwerke der Opfer über verwaltete Serviceprovider. (Weitere Informationen zu Infektionen über Dienstanbieter finden Sie unter M-Trends 2016.) APT10-Spea-Pishes sind relativ unausgereift und nutzten .lnk-Dateien in Archiven, Dateien mit doppelten Erweiterungen (z. B. [Redacted]_Group_Meeting_Document_20170222_doc_.exe) und in einigen Fällen einfach identische Lock-Dokumente und schädliche Launcher innerhalb desselben Archivs. Zusätzlich zu den Spear-Phishing-Angriffen hat Mandiant Threat Intelligence beobachtet, wie APT10 über globale Dienstanbieter auf ihre Opfer zugreift.

Zusätzliche Ressourcen

Zusätzliche Ressourcen

APT 9

Mögliche Attribution: Basierend auf den verfügbaren Daten gehen wir davon aus, dass es sich um eine freiberuflich tätige Gruppe mit staatlich gesponsertem Sponsoring handelt, möglicherweise aus China.

Zielsektoren: Organisationen mit Hauptsitz in mehreren Ländern und in verschiedenen Branchen wie Gesundheitswesen und Pharmazie, Baugewerbe und Ingenieurwesen sowie Luft- und Raumfahrt und Verteidigung.

Übersicht: APT9 beschäftigt sich mit Cyberangriffen, bei denen das Ziel der Datendiebstahl ist. In der Regel konzentriert sich APT9 auf die Daten und Projekte, die ein bestimmtes Unternehmen in seinem Bereich wettbewerbsfähig machen.

Zugehörige Malware: SOGU, HOMEUNIX, PHOTO, FUNRUN, Gh0st, ZXSHEL

Angriffsvektoren: APT9 war historisch in der Pharma- und Biotechnologiebranche sehr aktiv. Wir haben beobachtet, dass dieser Angreifer Spear-Phishing, gültige Konten und Remote-Dienste für den ersten Zugriff verwendet. Bei mindestens einem Mal beobachtete Mandiant APT9 bei zwei Unternehmen der Biotechnologiebranche und vermutete, dass APT9-APT9-Hacker sich durch eine vertrauenswürdige Beziehung zwischen den beiden Unternehmen Zugang zu einem der Unternehmen verschafft hatten. APT9 nutzen eine breite Palette an Backdoors, darunter öffentlich verfügbare Backdoors und Backdoors, die vermutlich kundenspezifisch sind, aber von mehreren APT-Gruppen genutzt werden.

APT 8

Mögliche Attribution: China

Zielsektoren: Vielfältige Branchen wie Medien und Unterhaltung, Baugewerbe und Ingenieurwesen sowie Luft- und Raumfahrt und Verteidigung.

Übersicht: Das Ziel von APT8 ist der Diebstahl geistigen Eigentums im Cyberangriff. In der Regel konzentriert sich APT8 auf die Daten und Projekte, die ein Unternehmen in seinem Bereich wettbewerbsfähig machen. Wir gehen davon aus, dass es sich um eine freiberuflich tätige Gruppe mit Sitz in China handelt, die in gewissem Umfang von staatlichen Sponsoren unterstützt wird. APT8 hat Unternehmen mit Hauptsitz in mehreren Ländern angegriffen, darunter die USA, Deutschland, das Vereinigte Königreich, Indien und Japan.

Zugehörige Malware: HASH, FLYZAP, GOLFPRO, SAFEPUTT

Angriffsvektoren: APT8-Hacker nutzen oft Spear-Phishing-E-Mails mit schädlichen Anhängen oder Links oder nutzen anfällige, mit dem Internet verbundene Webserver aus, um Zielunternehmen zu manipulieren. Außerdem sendeten APT8-Hacker bei mehreren Angriffen schädliche Links an potenzielle Opfer über Chat- oder Instant-Messaging-Programme.

APT 7

Mögliche Attribution: China

Zielsektoren: Baugewerbe, Ingenieurwesen, Luft- und Raumfahrt sowie Verteidigung und Industrie

Übersicht: Das Ziel von APT7 ist der Diebstahl geistigen Eigentums im Cyberangriff. In der Regel konzentriert sich APT7 auf Daten und Projekte, die ein Unternehmen in seinem Bereich wettbewerbsfähig machen. Es ist bekannt, dass diese Gruppe Unternehmen mit Hauptsitz in den USA und im Vereinigten Königreich angegriffen hat.

Zugehörige Malware: DIGDUG, TRACKS

Angriffsvektoren: APT7-Hacker haben den Zugriff auf ein Unternehmen genutzt, um eine andere Organisation unter demselben Dach zu infiltrieren. Dies ist eine Form der Ausbreitung im Netzwerk, aber in diesem Fall war es auch die erste Angriffsmethode für das zweite Unternehmen.

APT 6

Mögliche Attribution: China

Zielsektoren: Transport, Automobil, Bau- und Ingenieurwesen, Telekommunikation, Elektronik, Baugewerbe und Materialien

Übersicht: Das Ziel von APT6 sind Datendiebstahl, höchstwahrscheinlich Daten und Projekte, die ein Unternehmen in seinem Bereich wettbewerbsfähig machen. APT6 zielte auf Unternehmen mit Hauptsitz in den USA und im Vereinigten Königreich ab.

Zugehörige Malware: BELUGA, EXCHAIN, PUPTENT

Angriffsvektoren: APT6 nutzt verschiedene individuelle Backdoors, darunter einige, die von anderen APT-Gruppen oder nur von der Gruppe verwendet werden.

APT 5

Mögliche Attribution: China

Zielsektoren: regionale Telekommunikationsanbieter, in Asien ansässige Mitarbeiter von globalen Telekommunikations- und Technologieunternehmen, Hightech-Fertigung und militärische Anwendungstechnologie in den USA, Europa und Asien.

Übersicht: APT5 ist seit mindestens 2007 aktiv. APT5 hat Unternehmen in mehreren Branchen angegriffen oder angegriffen. Der Fokus liegt jedoch auf Telekommunikations- und Technologieunternehmen, insbesondere auf Informationen zur Satellitenkommunikation. Bereits 2014 stellte Mandiant Incident Response fest, dass APT5 nicht autorisierte Codeänderungen an Dateien im eingebetteten Betriebssystem einer anderen Technologieplattform vornahm. 2015 manipulierte APT5 eine US-amerikanische Telekommunikationsorganisation, die Dienstleistungen und Technologien für private und Regierungsbehörden bereitstellt. Während dieses Angriffs luden die Akteure einige der Router-Images herunter und modifizierten sie, die mit den Netzwerkroutern des Unternehmens verbunden waren. In dieser Zeit stahl APT5 auch Dateien im Zusammenhang mit Militärtechnologie von einer südasiatischen Verteidigungsorganisation. Die beobachteten Dateinamen deuten darauf hin, dass sich die Akteure für Produktspezifikationen, E-Mails zu technischen Produkten, Beschaffungsgebote und -vorschläge und Dokumente zu unbemannten Luftfahrzeugen interessiert haben.

Zugehörige Malware: BRIGHTCREST, SWEETCOLA, SPIRITBOX, PALEJAB, WIDERIM, WINVAULT, HAPPYSAD, BIRDWORLD, FARCRY, CYFREE, FULLSILO, HELLOTHEWORLD, HAZELNUT, GIF89A, SCREENBIND, SHINYFUR, TRUCKBED, LEOUNCIA, FREESWIM, PULLTAB, HIREDHELP, NEDDYHORSE, PITCHFORK, BRIGHTCOMB, ENCORE, TABCTENG, SHORTLEASH, CLEANACT, BRIGHTCYAN, DANCEPARTY, HALFBACK, PUSHBACK, COOLWHIP, LOWBID, TIGHTROPE, DIRTYWORD, AURIGA, KEYFANG, Poison Ivy

Angriffsvektoren: Es scheint sich um eine große Hackergruppe zu handeln, die aus mehreren Untergruppen besteht, oft mit unterschiedlichen Taktiken und Infrastrukturen. Die Gruppe nutzt Malware mit Keylogging-Funktionen, um gezielt Telekommunikationsunternehmen Unternehmensnetzwerke, Mitarbeitende und Führungskräfte anzugreifen. APT5 hat großes Interesse daran gezeigt, Netzwerkgeräte zu manipulieren und die zugrunde liegende Software zu manipulieren, die diese Geräte unterstützt.

APT 4

Alias: Maverick Panda, Sykipot Group, Wisp

Mögliche Attribution: China

Zielsektoren: Luft- und Raumfahrt und Verteidigung, Wirtschaftsingenieurwesen, Elektronik, Automobilbranche, Behörden, Telekommunikation und Transport

Übersicht: APT4 zielt offenbar häufiger auf die DIB-Basis (Defense Industrie) als andere kommerzielle Unternehmen aus. Allerdings ist die Geschichte von APT4 bei gezielten Angriffen sehr umfangreich.

Zugehörige Malware: GETKYS, LIFESAVER, CCHIP, SHYLILT, SWEETTOOTH, PHOTO, SOGO

Angriffsvektoren: APT4-Hacker nutzen häufig Spear-Phishing-Nachrichten aus den Themen der US-Regierung, des Verteidigungsministeriums oder der Verteidigungsbasis der USA. APT4-Akteure können gültigen Content von Websites staatlicher Behörden oder von US-amerikanischen Verteidigungsbehörden in ihren Nachrichtentexten wiederverwenden, um ihnen Legitimität zu verleihen.

APT 3

Alias: UPS-Team

Mögliche Attribution: China

Zielsektoren: Luft- und Raumfahrt und Verteidigung, Baugewerbe und Ingenieurwesen, Hightech, Telekommunikation, Transportwesen

Übersicht: Die in China ansässige Hackergruppe, die Mandiant unter der Bezeichnung APT3 verfolgt, ist eine der raffinierteren Hackergruppen, die Mandiant Threat Intelligence verfolgt. Sie hat in der Vergangenheit browserbasierte Exploits wie z. B. Internet Explorer, Firefox und Adobe Flash Player in der Vergangenheit eingesetzt. Nachdem ein Zielhost erfolgreich ausgenutzt wurde, lädt diese Gruppe schnell die Anmeldedaten aus, wechselt seitlich zu zusätzlichen Hosts und installiert benutzerdefinierte Backdoors. Die CnC-Infrastruktur (Command and Control) von APT3 ist schwer nachzuvollziehen, da sich die Kampagnen kaum überschneiden.

Zugehörige Malware: SHOTPUT, COOKIECUTTER, SOGU

Angriffsvektoren: Die von APT3 verwendeten Phishing-E-Mails sind in der Regel generisch und scheinen beinahe Spam zu sein. Angriffe haben eine nicht gepatchte Schwachstelle bei der Analyse von Flash Video-Dateien (FLV) durch Adobe Flash Player ausgenutzt. Bei diesem Exploit werden gängige Methoden zur Vektorbeschädigung verwendet, um Address Space Layout Randomization (ASLR) zu umgehen, und mithilfe von Return-orientierter Programmierung (ROP), um Data Execution Prevention (DEP) zu umgehen. Ein raffinierter Trick für die ROP-Technik macht das Ausnutzen und Umgehen einiger ROP-Erkennungstechniken einfacher. Shellcode wird in der gepackten Adobe Flash Player-Exploit-Datei zusammen mit einem Schlüssel für die Entschlüsselung gespeichert. Die Nutzlast ist xor-codiert und in einem Bild verborgen.

Zusätzliche Ressourcen

Zusätzliche Ressourcen

APT 2

Mögliche Attribution: China

Zielsektoren: Militär und Luft- und Raumfahrt

Übersicht: Diese Gruppe wurde erstmals 2010 beobachtet. Das Ziel von APT2 ist der Diebstahl geistigen Eigentums. In der Regel konzentriert sich APT2 auf die Daten und Projekte, die ein Unternehmen in seinem Bereich wettbewerbsfähig machen.

Zugehörige Malware: MOOSE, WARP

Angriffsvektoren: Spear-Phishing-E-Mails, die CVE-2012-0158 ausnutzen.

APT 1

Alias: Unit 61398, Comment Crew

Mutmaßliche Attribution: 3. Abteilung der Volksbefreiungsarmee (PLA) des Generalstaff Department (GSD) der Volksrepublik China (总参部二苯), vor allem unter dem Titel MUCD (Unit 61398) (61398部队) der militärischen Einheit bekannt.

Zielsektoren: Informationstechnologie, Luft- und Raumfahrt, öffentliche Verwaltung, Satelliten und Telekommunikation, wissenschaftliche Forschung und Beratung, Energie, Transport, Bau und Fertigung, technische Dienstleistungen, Hightech-Elektronik, internationale Organisationen, Rechtsdienstleistungen, Medien, Werbung und Unterhaltung, Navigation, Chemie, Finanzdienstleistungen, Lebensmittel- und Landwirtschaft, Gesundheitswesen, Metall und Bergbau, Bildung

Übersicht: APT1 hat systematisch Hunderte Terabyte an Daten von mindestens 141 Unternehmen gestohlen und die Fähigkeit und Absicht gezeigt, Dutzende von Unternehmen gleichzeitig zu stehlen. Die Gruppe konzentriert sich darauf, Unternehmen in einer Vielzahl von Branchen in englischsprachigen Ländern zu kompromittieren. Die Größe der Infrastruktur von APT1 deutet auf ein großes Unternehmen mit mindestens Dutzenden, aber möglicherweise Hunderten von menschlichen Mitarbeitern hin.

Zugehörige Malware: TROJAN.ECLTYS, BACKDOOR.BARKIOFORK, BACKDOOR.WAKEMINAP, TROJAN.DOWNBOT, BACKDOOR.DALBOT, BACKDOOR.REVIRD, TROJAN.BADNAME, BACKDOOR.WUALESS

Angriffsvektoren: Die am häufigsten beobachtete Methode für erste Manipulationen ist Spear-Phishing. Die Spear-Phishing-E-Mails enthalten entweder einen schädlichen Anhang oder einen Hyperlink zu einer schädlichen Datei. Die Betreffzeile und der Text im E-Mail-Text sind in der Regel für den Empfänger relevant. APT1 erstellt außerdem Webmail-Konten mit echten Personennamen. APT1-Eindringlinge nutzen zwar gelegentlich öffentlich verfügbare Backdoors wie Poison Ivy und Gh0st RAT, doch in der Mehrheit der Fälle nutzen sie scheinbar eigene Backdoors. Während ihres gesamten Aufenthalts im Netzwerk (der möglicherweise mehrere Jahre andauern kann) installiert APT1 in der Regel neue Backdoors, da sie mehr Systeme in der Umgebung beanspruchen. Wird dann eine Backdoor gefunden und gelöscht, hat der Nutzer immer noch andere Backdoors, die er verwenden kann. Normalerweise sind mehrere Familien von APT1-Backdoors im Netzwerk eines Opfers verstreut, wenn APT1 schon länger als ein paar Wochen im Einsatz war.

APT43

Mögliche Attribution: Nordkorea

Zielbranchen: APT43 ist eng mit staatlichen Interessen Nordkoreas verbunden und korreliert stark mit den geopolitischen Entwicklungen, die Kim Jong-un betreffen. APT43 hat regelmäßig Spionageaktivitäten gegen südkoreanische und US-amerikanische Organisationen durchgeführt. 2021 verlagerte sich das Interesse aufgrund der Coronakrise auf die Gesundheitsbranche.

Übersicht: APT43 ist eine aktive Cyberbedrohungs-Gruppe, die die Interessen des nordkoreanischen Regimes unterstützt. Die Gruppe kombiniert mäßig ausgefeilte technische Fähigkeiten mit aggressiven Social-Engineering-Taktiken, insbesondere gegen südkoreanische und US-amerikanische Regierungsorganisationen, Akademiker und Thinktanks, die sich mit den geopolitischen Fragen der koreanischen Halbinsel befassen. Wir gehen davon aus, dass APT43 sich neben seinen Spionagekampagnen auch durch Cyber-Kriminalität finanziert, um seine Hauptaufgabe, das Sammeln von strategischen Informationen, zu unterstützen. APT43 hat bei mehreren Operationen mit anderen nordkoreanischen Spionagegruppen zusammengearbeitet, was die wichtige Rolle unterstreicht, die APT43 im Cyberapparat des Regimes spielt.

Zugehörige Malware: Die Gruppe nutzt viele Malware-Familien, darunter gh0st RAT, QUASARRAT, AMADEY, BITTERSWEET, COINTOSS und LATEOP.

Angriffsvektoren: APT43 setzt auf Spear-Phishing-Kampagnen, um ihre ausgeklügelten Social-Engineering-Taktiken umzusetzen. Die Gruppe erstellt zahlreiche gefälschte und betrügerische Identitäten für Social-Engineering-Angriffe sowie Tarnidentitäten für den Kauf von Betriebstools und -infrastruktur.

Zusätzliche Ressourcen

Zusätzliche Ressourcen

Zusätzliche Ressourcen

Zusätzliche Ressourcen

APT 38

Mögliche Attribution: Nordkorea

Zielsektoren: Finanzinstitute weltweit

Übersicht: Unsere Analyse der vom Regime unterstützten Hackergruppe APT38 zeigt, dass sie für die Durchführung des größten beobachteten Cyberangriffs verantwortlich ist. Obwohl APT38 Ressourcen zur Malware-Entwicklung und nordkoreanisches Sponsoring mit einer von der Sicherheitscommunity als „Lazarus“ bezeichneten Gruppe teilt, sind wir der Meinung, dass die finanzielle Motivation, die einzigartigen Tools und Taktiken, Techniken und Verfahren (TTPs) von APT38 so eindeutig sind, dass sie von anderen nordkoreanischen Cyberaktivitäten getrennt erfasst werden können.

Zugehörige Malware: Diese große und produktive Gruppe nutzt eine Vielzahl spezieller Malware-Varianten wie Backdoors, Tunneling-Programme, Dataminer und destruktive Malware, um Finanzinstituten Millionen von Dollar zu stehlen und die Netzwerke der betroffenen Opfer außer Betrieb zu setzen.

Angriffsvektoren: APT38 war in über 16 Organisationen in mindestens 11 Ländern aktiv. Diese Gruppe ist sorgsam, kalkuliert und hat den Wunsch nachgewiesen, den Zugang zu den Umgebungen der Opfer so lange beizubehalten, wie es notwendig ist, um das Netzwerklayout, die erforderlichen Berechtigungen und Systemtechnologien zu verstehen, um ihre Ziele zu erreichen. APT38 ist einzigartig, da sie keine Angst davor haben, im Rahmen ihrer Aktivitäten aggressive Beweise oder Opfernetzwerke zu zerstören.

Zusätzliche Ressourcen

APT 37

Mögliche Attribution: Nordkorea

Zielsektoren: Hauptsächlich Südkorea – aber auch Japan, Vietnam und der Nahe Osten – in verschiedenen Branchen wie Chemie, Elektronik, Fertigung, Luft- und Raumfahrt, Automobil und Gesundheitswesen.

Übersicht: Unsere Analyse der jüngsten Aktivitäten von APT37 zeigt, dass der Umfang und die Komplexität der Aktivitäten der Gruppe erweitert werden und ein Toolset zur Verfügung steht, das Zugriff auf Zero-Day-Sicherheitslücken und Wiper-Malware bietet. Wir gehen mit hoher Sicherheit davon aus, dass diese Aktivitäten im Auftrag der nordkoreanischen Regierung durchgeführt werden. Dabei berücksichtigen wir Malware-Entwicklungsartefakte und Ausrichtungsmethoden, die den Interessen des nordkoreanischen Staates entsprechen. Mandiant Threat Intelligence ist der Ansicht, dass APT37 mit den öffentlich als Scarcruft und Group123 gemeldeten Aktivitäten übereinstimmt.

Zugehörige Malware: diverse Malware für das erste Eindringen und die Daten-Exfiltration. APT37 nutzt nicht nur spezielle Malware für Spionagezwecke, sondern auch destruktive Malware.

Angriffsvektoren: Social-Engineering-Taktiken, die speziell auf die gewünschten Ziele zugeschnitten sind, strategische Angriffe im Web, die typisch für gezielte Cyberspionageangriffe sind, und der Einsatz von Torrent-Filesharing-Websites zur wahlloser Verbreitung von Malware. Häufiges Ausnutzen von Sicherheitslücken in Hangul Word Processor (HWP) und Adobe Flash. Die Gruppe hat nachweislich Zugriff auf Zero-Day-Sicherheitslücken (CVE-2018-0802) und die Fähigkeit, diese in ihren Betrieb einzubinden.

Zusätzliche Ressourcen

APT42

Mögliche Attribution: Iran

Zielbranchen: APT42 konzentriert sich stark auf Personen oder Gruppen, die sich dem derzeitigen iranischen Regime widersetzen, und versucht, Zugriff auf ihre persönlichen Konten und Mobilgeräte zu erhalten. Die Gruppe hat bislang konsistent westliche Think-Tanks, Forscher, Journalisten, westliche Regierungsbeamte, ehemalige iranische Regierungsbeamte und Mitglieder der Diaspora im Ausland angegriffen.

Übersicht: APT42 ist eine vom iranischen Staat gesponserte, mit Cyberspionage beauftragte Hackergruppe, die sich in erster Linie mit der Erfassung von Daten und Überwachung von strategisch wichtigen Einzelpersonen und Unternehmen befasst. Die Aktivitäten der Gruppe, die darauf abzielen, Vertrauen und eine Beziehung zu ihren Opfern aufzubauen, umfassen den Zugriff auf private und geschäftliche E-Mail-Konten von Regierungsbeamten, ehemaligen iranischen Entscheidungsträgern oder politischen Persönlichkeiten, Mitgliedern der iranischen Diaspora und Oppositionsgruppen, Journalisten und Akademikern, die sich mit dem Iran befassen. 

Zugehörige Malware: Die Gruppe nutzt viele Malware-Familien, darunter TAMECAT, TABBYCAT, VBREVSHELL, POWERPOST, BROKEYOLK, CHAIRSMACK und ASYNCRAT.

Angriffsvektoren: Wie die meisten Gruppen hat auch APT42 auf Phishing-Kampagnen gesetzt. Ein primärer Angriffsvektor war jedoch die Verwendung von mobiler Malware, um die Standorte der Opfer zu verfolgen, Telefongespräche aufzuzeichnen, auf Videos und Bilder zuzugreifen und gesamte SMS-Inboxen zu extrahieren.

Zusätzliche Ressourcen

Zusätzliche Ressourcen

Zusätzliche Ressourcen

Zusätzliche Ressourcen

APT 39

Mögliche Attribution: Iran

Zielsektoren: Obwohl APT39 weltweit anspricht, konzentriert sich das Unternehmen auf den Nahen Osten. APT39 hat den Telekommunikationssektor priorisiert und zusätzlich die Reisebranche sowie IT-Unternehmen, die ihn unterstützen, sowie die Hightech-Branche ins Visier genommen.

Übersicht: Die Fokussierung der Gruppe auf die Telekommunikations- und Reisebranche deutet darauf hin, dass die Absicht besteht, bestimmte Personen zu überwachen, nachzuverfolgen oder zu überwachen, proprietäre oder Kundendaten für kommerzielle oder operative Zwecke zu erfassen, die strategischen Anforderungen im Zusammenhang mit nationalen Prioritäten zu erfüllen, oder die Schaffung zusätzlicher Zugriffe und Vektoren, um zukünftige Kampagnen zu erleichtern. Die Ausrichtung auf Regierungsbehörden deutet auf eine mögliche sekundäre Absicht hin, geopolitische Daten zu erheben, von denen landesweite Entscheidungen treffen können.

Zugehörige Malware: Die Gruppe nutzt hauptsächlich die Backdoors SEAWEED und CACHEMONEY sowie eine bestimmte Variante der POWBAT-Backdoor.

Angriffsvektoren: Bei den ersten Angriffen hat Mandiant Intelligence beobachtet, wie APT39 Spear-Phishing mit schädlichen Anhängen und/oder Hyperlinks nutzte, die in der Regel zu einer POWBAT-Infektion führen. In einigen Fällen wurden auch zuvor manipulierte E-Mail-Konten verwendet, um inhärentes Vertrauen zu missbrauchen und die Chancen eines erfolgreichen Angriffs zu erhöhen. APT39 registriert und nutzt häufig Domains, die sich als legitime Webdienste und Organisationen ausgeben, die für das jeweilige Ziel relevant sind. Darüber hinaus hat diese Gruppe routinemäßig anfällige Webserver von Zielunternehmen identifiziert und ausgenutzt, um Webshells wie ANTAK und ASPXSPY zu installieren, und gestohlene legitime Anmeldedaten verwendet, um extern zugängliche Outlook Web Access-Ressourcen (OWA) zu manipulieren. Wir haben keine APT39-Exploits beobachtet.

Zusätzliche Ressourcen

APT 34

Mögliche Attribution: Iran

Zielsektoren: Diese Hackergruppe hat breit angelegte Angriffe auf eine Vielzahl von Branchen durchgeführt, darunter Finanzwesen, Behörden, Energie, Chemie und Telekommunikation, und konzentrierte ihre Aktivitäten überwiegend auf den Nahen Osten.

Übersicht: Wir sind davon überzeugt, dass APT34 an einer langfristigen Cyberspionage beteiligt ist, die sich vor allem auf die Ausspähung der Interessen der iranischen Staatsstaaten konzentriert und seit mindestens 2014 aktiv ist. Wir gehen davon aus, dass APT34 im Auftrag der iranischen Regierung arbeitet. Dabei berücksichtigen wir Details zur Infrastruktur, die Verweise auf den Iran, die Nutzung der iranischen Infrastruktur und die Ausrichtung auf die Interessen der staatlichen Behörden umfassen.

Zugehörige Malware: POWBAT, POWRUNER, BONDUPDATER

Angriffsvektoren: In der letzten Kampagne nutzte APT34 die aktuelle Microsoft Office-Sicherheitslücke CVE-2017-11882 aus, um POWRUNER und BONDUPDATER bereitzustellen.

Zusätzliche Ressourcen

APT 33

Mögliche Attribution: Iran

Zielsektoren: Luft- und Raumfahrt, Energie

Übersicht: APT33 hat Unternehmen in den USA, Saudi-Arabien und Südkorea ins Visier genommen, die verschiedene Branchen abdecken. APT33 zeigt besonderes Interesse an Organisationen im Luftfahrtsektor, die sowohl an militärischen als auch kommerziellen Projekten beteiligt sind, sowie an Organisationen im Energiesektor mit Verbindungen zur petrochemischen Produktion.

Zugehörige Malware: SHAPESHIFT, DROPSHOT, TurnEDUP, NANOCORE, NETWIRE, ALFA Shell

Angriffsvektoren: APT33 versendete Spear-Phishing-E-Mails an Mitarbeiter, die Jobs im Zusammenhang mit der Luftfahrtbranche betrafen. Diese E-Mails enthielten Links zu schädlichen HTML-Anwendungsdateien (.hta) und Rekrutierungsthemen. Die HTA-Dateien enthielten Stellenbeschreibungen und Links zu legitimen Stellenausschreibungen auf beliebten Arbeitswebsites, die für die Zielpersonen relevant waren.

Zusätzliche Ressourcen

APT 28

Alias: Tsar-Team

Mögliche Zuordnung: russische Regierung

Zielsektoren: der Kaukasus, insbesondere Georgien, osteuropäische Länder und Streitkräfte, die Nordatlantikabkommensorganisation (NATO) und andere europäische Sicherheitsorganisationen und Rüstungsfirmen

Übersicht: APT28 ist ein qualifiziertes Team aus Entwicklern und Operatoren, die Informationen zu Verteidigungs- und geopolitischen Fragen sammeln, die nur für Behörden nützlich wären. Diese APT-Gruppe kompiliert Malware-Beispiele mit Einstellungen in russischer Sprache während der Arbeitszeiten (8:00 bis 18:00 Uhr), die der Zeitzone der russischen Großstädte wie Moskau und Sankt Petersburg entspricht. Dies deutet darauf hin, dass APT28 weiterhin direkte finanzielle und andere Ressourcen von einer etablierten Organisation erhält, höchstwahrscheinlich von der russischen Regierung.

Zugehörige Malware: CHOPSTICK, SOURFACE

Angriffsvektoren: Zu den häufig von APT28 verwendeten Tools gehören der SOURFACE-Downloader, seine Backdoor EVILTOSS mit einer zweiten Stufe und eine modulare Implantatfamilie namens CHOPSTICK. APT28 nutzt die RSA-Verschlüsselung, um Dateien und gestohlene Daten zu schützen, die aus dem Netzwerk des Opfers zum Controller verschoben wurden. Seit 2007 hat es außerdem schrittweise und systematische Änderungen am SOURFACE-Downloader und der Umgebung vorgenommen, was auf langjährige und engagierte Entwicklungsanstrengungen hindeutet.

Zusätzliche Ressourcen

APT29

Mögliche Attribution: Russland

Zielsektoren: In der Vergangenheit waren darunter westliche Regierungen, Außenstellen und politische Entscheidungsträger, Regierungsaufträge, Universitäten und möglicherweise internationale Nachrichtenagenturen.

Übersicht: APT29 ist eine staatlich gesponserte Cyberspionagegruppe in Russland. Die Gruppe verfügt über beeindruckende Fähigkeiten, darunter eine Reihe von eigens entwickelten Tools, ein umfangreiches Command-and-Control-Netzwerk (C2), das kompromittierte und Satelliteninfrastruktur (über scheinbare Dienstanbieter) umfasst, und ein hohes Maß an operativer Sicherheit. In Untersuchungen zu APT29 hat die Gruppe ein hohes Bewusstsein für die Verteidigungshaltung ihrer Opfer gezeigt und bewiesen, dass sie mit Methoden vertraut ist, um Ermittlern und Behebungsversuchen auszuweichen.

Zugehörige Malware: Die Gruppe nutzt viele Malware-Familien, darunter BEACON, COZYCAR, DAVESHELL, GREEDYHEIR, HTRAN, REGEORG, SEADADDY und SUNBURST.

Angriffsvektoren: APT29 nutzt häufig Spear-Phishing, um Zugang zu Zielnetzwerken zu erhalten, ist aber auch in der Lage, fortschrittlichere Formen von Eindringaktivitäten auszuführen, z. B. die Manipulation von Lieferketten. Während einige Bedrohungsgruppen sehr maßgeschneiderte, zielgerichtete Spear-Phishing-Nachrichten versenden, können APT29-E-Mails sehr allgemein gehalten sein. Sobald ein Zugang gefunden wurde, installiert die Gruppe in der Regel Malware, um eine Hintertür zu schaffen, die es ihr ermöglicht, den Zugriff über einen längeren Zeitraum aufrechtzuerhalten.

Zusätzliche Ressourcen 

Zusätzliche Ressourcen

Zusätzliche Ressourcen

Zusätzliche Ressourcen

APT36

Mögliche Attribution: Pakistan

Zielsektoren: APT36 ist seit mindestens 2013 aktiv. Die Angriffskampagnen zielen auf den regionalen Rivalen Indien ab und zeigen auch ein Interesse an militärischen und zwischenstaatlichen Organisationen wie der NATO und den Vereinten Nationen, die in der Region aktiv sind. Außerdem hat APT36 mehrere Branchen in Ländern außerhalb der Region ins Visier genommen, auch in den USA.

Übersicht: APT36 ist eine fortschrittliche Cyberspionagegruppe, die Informationen sammelt, um die pakistanischen militärischen und diplomatischen Interessen zu unterstützen.

Zugehörige Malware: Die Gruppe nutzt viele Malware-Familien, darunter MOONDOOR, SEEPASS, BabylonRAT, SEEKEYS, BREACHRAT, SEEDRIVE, UPDATESEE, MOONRAT und SEEGAP.

Angriffsvektoren: APT36 nutzt in der Regel Spear-Phishing als primäre Methode, um in ein System einzudringen. Dabei werden schädliche Anhänge verwendet, die ausführbare Microsoft Windows-Dateien und Microsoft Office-Dokumente enthalten (die Makros und bekannte Exploits nutzen). Die Phishing-Versuche dieses Akteurs haben meist militärische und politische Themen. Wir haben außerdem beobachtet, dass diese Akteure eine einzigartige Taktik anwenden, bei der sie Social Engineering (statt Web-Exploits) nutzen, um Opfer dazu zu verleiten, bösartige Microsoft Office-Dokumente herunterzuladen und zu öffnen.

APT 35

Zielsektoren: Militär-, Diplomaten- und Regierungsmitarbeiter in den USA, Westeuropa und Naher Osten, Organisationen in den Branchen Medien, Energie und Verteidigung sowie Ingenieurwesen, Unternehmensdienstleistungen und Telekommunikationsbranche.

Übersicht: APT35 (auch bekannt als Newscaster Team) ist ein von der iranischen Regierung gesponsertes Cyberspionageteam, das langfristige, ressourcenintensive Angriffe durchführt, um strategische Informationen zu sammeln. Mandiant Threat Intelligence beobachtet die Aktivitäten von APT35 seit 2014. In der Vergangenheit hat sich APT35 auf bisher nur wenig ausgereifte Tools wie öffentlich verfügbare Webshells und Penetrationstesttools verlassen, was auf eine relativ neue Entwicklungsfähigkeit hindeutet. Der Umfang der Aktivitäten von APT35, insbesondere im Zusammenhang mit den komplexen Social-Engineering-Aktivitäten, deutet jedoch darauf hin, dass die Gruppe in anderen Bereichen über gute Ressourcen verfügt.

Zugehörige Malware: ASPXSHELLSV, BROKEYOLK, PUPYRAT, TUNNA, MANGOPUNCH, DRUBOT, HOUSEBLEND

Angriffsvektoren: APT35 nutzt in der Regel Spear-Phishing, um ein Unternehmen zu hacken, und greift dabei oft auf Köder im Gesundheitswesen, auf Stellenausschreibungen, Lebensläufe oder Passwortrichtlinien zurück. Wir haben jedoch auch beobachtet, dass die Gruppe manipulierte Konten mit Anmeldedaten aus vorherigen Vorgängen, strategischen Internetmanipulationen und Password-Spray-Angriffen auf extern zugängliche Webanwendungen als zusätzliche Techniken nutzte, um sich einen ersten Zugriff zu verschaffen.

APT 32

Alias: OceanLotus Group

Mögliche Attribution: Vietnam

Zielsektoren: ausländische Unternehmen, die in Vietnams Fertigung, Verbrauchsgüter, Beratung und Gastgewerbe investieren

Übersicht: Aktuelle Aktivitäten, die sich auf private Interessen in Vietnam abgesehen haben, deuten darauf hin, dass APT32 eine Bedrohung für Unternehmen darstellt, die dort Geschäfte machen, produzieren oder sich auf Investitionen in diesem Land vorbereiten. Die Motivation für diese Aktivität bleibt zwar undurchsichtig, könnte aber letztendlich den Wettbewerbsvorteil der angegriffenen Unternehmen schmälern.

Zugehörige Malware: SOUNDBITE, WINDSHIELD, PHOREAL, BEACON, KOMPROGO

Angriffsvektoren: APT32-Akteure nutzen ActiveMime-Dateien, die mithilfe von Social-Engineering-Methoden das Opfer dazu verleiten, Makros zu aktivieren. Bei der Ausführung lädt die initialisierte Datei in der Regel mehrere schädliche Nutzlasten von einem Remoteserver herunter. Die Angreifer senden die schädlichen Anhänge über Spear-Phishing-E-Mails zu. Es gibt Belege dafür, dass einige von ihnen möglicherweise über Gmail gesendet wurden.

APT 1

Alias: Unit 61398, Comment Crew

Mutmaßliche Attribution: 3. Abteilung der Volksbefreiungsarmee (PLA) des Generalstaff Department (GSD) der Volksrepublik China (总参部二苯), vor allem unter dem Titel MUCD (Unit 61398) (61398部队) der militärischen Einheit bekannt.

Zielsektoren: Informationstechnologie, Luft- und Raumfahrt, öffentliche Verwaltung, Satelliten und Telekommunikation, wissenschaftliche Forschung und Beratung, Energie, Transport, Bau und Fertigung, technische Dienstleistungen, Hightech-Elektronik, internationale Organisationen, Rechtsdienstleistungen, Medien, Werbung und Unterhaltung, Navigation, Chemie, Finanzdienstleistungen, Lebensmittel- und Landwirtschaft, Gesundheitswesen, Metall und Bergbau, Bildung

Übersicht: APT1 hat systematisch Hunderte Terabyte an Daten von mindestens 141 Unternehmen gestohlen und die Fähigkeit und Absicht gezeigt, Dutzende von Unternehmen gleichzeitig zu stehlen. Die Gruppe konzentriert sich darauf, Unternehmen in einer Vielzahl von Branchen in englischsprachigen Ländern zu kompromittieren. Die Größe der Infrastruktur von APT1 deutet auf ein großes Unternehmen mit mindestens Dutzenden, aber möglicherweise Hunderten von menschlichen Mitarbeitern hin.

Zugehörige Malware: TROJAN.ECLTYS, BACKDOOR.BARKIOFORK, BACKDOOR.WAKEMINAP, TROJAN.DOWNBOT, BACKDOOR.DALBOT, BACKDOOR.REVIRD, TROJAN.BADNAME, BACKDOOR.WUALESS

Angriffsvektoren: Die am häufigsten beobachtete Methode für erste Manipulationen ist Spear-Phishing. Die Spear-Phishing-E-Mails enthalten entweder einen schädlichen Anhang oder einen Hyperlink zu einer schädlichen Datei. Die Betreffzeile und der Text im E-Mail-Text sind in der Regel für den Empfänger relevant. APT1 erstellt außerdem Webmail-Konten mit echten Personennamen. APT1-Eindringlinge nutzen zwar gelegentlich öffentlich verfügbare Backdoors wie Poison Ivy und Gh0st RAT, doch in der Mehrheit der Fälle nutzen sie scheinbar eigene Backdoors. Während ihres gesamten Aufenthalts im Netzwerk (der möglicherweise mehrere Jahre andauern kann) installiert APT1 in der Regel neue Backdoors, da sie mehr Systeme in der Umgebung beanspruchen. Wird dann eine Backdoor gefunden und gelöscht, hat der Nutzer immer noch andere Backdoors, die er verwenden kann. Normalerweise sind mehrere Familien von APT1-Backdoors im Netzwerk eines Opfers verstreut, wenn APT1 schon länger als ein paar Wochen im Einsatz war.