Menaces persistantes avancées (APT)

APT41

Suspicion d'attribution : Chine

Secteurs ciblés : APT41 a déjà ciblé directement des organisations dans au moins 14 pays, dès 2012. Les campagnes de cyberespionnage du groupe ont ciblé la santé, les télécommunications et le secteur des hautes technologies, et ont toujours inclus le vol de propriété intellectuelle. Leurs cyberintrusions se manifestent surtout par le ciblage de l'industrie des jeux vidéo, notamment par la manipulation de monnaies virtuelles et par des tentatives de déploiement de rançongiciels. Les opérations d’APT41 contre les établissements d’enseignement supérieur, les agences de voyages et les sociétés de presse/médias prouvent que ce groupe surveille également les personnes et mène des activités de surveillance.

Présentation : APT41 est un groupe de cybermenaces prolifique qui mène des opérations de cyberespionnage soutenues par l’État chinois, en plus d’activités à visée financière potentiellement hors de contrôle de l’État.

Logiciels malveillants associés : APT41 a été observé avec au moins 46 familles de code et outils différents.

Vecteurs d'attaque : APT41 utilise souvent des e-mails d'hameçonnage ciblé contenant des pièces jointes comme des fichiers HTML compilés (.chm) pour compromettre ses victimes. Une fois dans une entreprise victime, APT41 peut exploiter des modes opératoires plus sophistiqués et déployer d’autres logiciels malveillants. Par exemple, au cours d’une campagne diffusée pendant près d’un an, APT41 a compromis des centaines de systèmes et utilisé près de 150 logiciels malveillants uniques, dont des portes dérobées, des voleurs d’identifiants, des enregistreurs de frappe et des rootkits. APT41 a également déployé des rootkits et des bootkits Master Boot Record (MBR) de façon restreinte afin de dissimuler leurs logiciels malveillants et de s'assurer une présence persistante sur certains systèmes victimes.

Autres ressources

APT40

Suspicion d'attribution : Chine

Secteurs cibles : APT40 est un groupe de cyberespionnage chinois qui cible des pays d’importance stratégique dans le cadre du projet de nouvelle route de la soie. Bien que le groupe cible des entreprises internationales, en particulier celles spécialisées dans l’ingénierie et la défense, il a toujours mené des campagnes contre des entités régionales, comme l’Asie du Sud-Est. Depuis au moins janvier 2013, le groupe mène des campagnes contre différents secteurs, tels que les cibles maritimes, la défense, l'aviation, les produits chimiques, la recherche et l'enseignement, les administrations et les organisations technologiques.

Présentation : Mandiant Intelligence estime que les opérations d'APT40 sont le pendant cybernétique des efforts déployés par la Chine pour moderniser ses capacités navales, ce qui se traduit également par le ciblage de projets de recherche à grande échelle dans les universités et par l'obtention de modèles d'équipements et de véhicules maritimes. Les opérations du groupe ont tendance à cibler des projets financés par le gouvernement et à collecter de grandes quantités d’informations spécifiques à ces projets, notamment des propositions, des réunions, des données financières, des informations sur la livraison, des plans et dessins, et des données brutes.

Logiciels malveillants associés : APT40 a été observé avec au moins 51 familles de code différentes. Parmi celles-ci, 37 familles ne sont pas publiques. Au moins sept de ces outils non publics (BADSIGN, FIELDGOAL, FINDLOCK, PHOTO, SCANBOX, SOGU et WIDETONE) sont partagés avec d'autres opérateurs présumés liés à la Chine.

Vecteurs d'attaque : en général, APT40 se fait passer pour une personnalité de premier plan susceptible de s'intéresser à la cible d'e-mails d'hameçonnage ciblé. Il s'agit notamment de se faire passer pour un journaliste, une personne d'une publication spécialisée ou un membre d'une organisation militaire ou d'une organisation non gouvernementale (ONG). Dans certains cas, le groupe a exploité des adresses e-mail précédemment compromises pour envoyer des e-mails d'hameçonnage ciblé.

Autres ressources

APT31

Suspicion d'attribution : Chine

Secteurs cibles : multiples, y compris les administrations, les organismes financiers internationaux, l'aérospatiale et la défense, ainsi que la haute technologie, la construction et l'ingénierie, les télécommunications, les médias et les assurances.

Présentation : APT31 est un acteur du cyberespionnage lié à la Chine qui cherche à obtenir des informations susceptibles de procurer au gouvernement chinois et aux entreprises d'État des avantages politiques, économiques et militaires.

Logiciels malveillants associés : SOGU, LUCKYBIRD, SLOWGYRO, DUCKFAT

Vecteurs d'attaque : APT31 a exploité des vulnérabilités dans des applications telles que Java et Adobe Flash pour compromettre l'environnement de ses victimes.

APT30

Suspicion d'attribution : Chine

Secteurs cibles : membres de l'Association des nations de l'Asie du Sud-Est (ASEAN)

Présentation : APT30 est connu non seulement pour son activité soutenue sur une longue période, mais aussi pour sa capacité à modifier et adapter efficacement le code source afin de conserver les mêmes outils, tactiques et infrastructures depuis au moins 2005. Les preuves montrent que le groupe hiérarchise les cibles, qu'il travaille très probablement en équipes dans un environnement collaboratif et qu'il construit des logiciels malveillants à partir d'un plan de développement cohérent. Le groupe est capable d'infecter les réseaux sous air gap depuis 2005.

Logiciel malveillant associé : SHIPSHAPE, SPACESHIP, FLASHFLOOD

Vecteurs d'attaque : APT30 utilise une suite d'outils comprenant des outils de téléchargement, des portes dérobées, un contrôleur central et plusieurs composants conçus pour infecter les disques amovibles et traverser les réseaux sous air gap pour voler des données. APT30 enregistre fréquemment ses propres domaines DNS pour détecter les activités CnC de logiciels malveillants.

APT27

Suspicion d'attribution : Chine

Secteurs ciblés : APT27 a ciblé plusieurs organisations, dont le siège social est disséminé dans le monde entier, notamment en Amérique du Nord et du Sud, en Europe et au Moyen-Orient. Ces organisations appartiennent à différents secteurs, y compris les services aux entreprises, la haute technologie, les administrations et l'énergie, mais elles sont souvent dans les secteurs de l'aérospatiale, des transports et du tourisme.

Présentation : APT27 participe à des cyberopérations dont l'objectif est le vol de propriété intellectuelle, et se concentre généralement sur les données et les projets qui rendent une organisation compétitive dans son secteur.

Logiciels malveillants associés : PANDORA, SOGU, ZXSHELL, GHOST, WIDEBERTH, QUICKPULSE, FLOWERPOT

Vecteurs d'attaque : APT27 utilise souvent l'hameçonnage ciblé comme méthode initiale de compromission. Les cybercriminels d’APT27 ne sont pas réputés pour leurs exploits zero-day originaux, mais ils peuvent les exploiter une fois qu'ils sont rendus publics. Dans au moins un cas, les acteurs d'APT27 ont utilisé le compte d’une organisation victime pour envoyer un e-mail d'hameçonnage ciblé à d’autres victimes dans des secteurs similaires. De plus, APT27 pourrait compromettre des applications Web vulnérables pour établir une présence initiale.

APT26

Suspicion d'attribution : Chine

Secteurs cibles : aérospatiale, défense et énergie, entre autres

Présentation : APT26 participe à des cyberopérations dont l'objectif est le vol de propriété intellectuelle, et se concentre généralement sur les données et les projets qui rendent une organisation compétitive dans son secteur.

Logiciels malveillants associés : SOGU, HTRAN, POSTSIZE, TWOCHAINS, BEACON

Vecteurs d'attaque : le groupe a fréquemment recours à des compromissions Web stratégiques pour accéder à des réseaux ciblés et à des portes dérobées personnalisées lorsqu'il est dans l'environnement de sa victime.

APT25

Autre nom : Uncool, Vixen Panda, Ke3chang, Sushi Roll, Tor

Suspicion d'attribution : Chine

Secteurs cibles : base industrielle de la défense, médias, services financiers et transports aux États-Unis et en Europe.

Présentation : APT25 participe à des cyberopérations dont l'objectif est le vol de données.

Logiciels malveillants associés : LINGBO, PLAYWORK, MADWOFL, MIRAGE, TOUGHROW, TOYSNAKE, SABERTOOTH

Vecteurs d'attaque : APT25 a toujours utilisé l'hameçonnage ciblé dans ses opérations, y compris des messages contenant des pièces jointes malveillantes et des liens hypertextes malveillants. Habituellement, les attaquants d’APT25 n’utilisent pas d'exploits zero-day, mais ils peuvent s’en servir une fois qu’ils ont été rendus publics.

APT24

Autre nom : PittyTiger

Suspicion d'attribution : Chine

Secteurs cibles : APT24 a ciblé un large éventail d'industries, y compris des organisations dans les secteurs administratifs, des soins de santé, de la construction et de l'ingénierie, de l'exploitation minière, des organisations à but non lucratif et des télécommunications.

Présentation : ce groupe est connu pour avoir ciblé des entreprises dont le siège social est situé dans des pays tels que les États-Unis et Taïwan. Depuis le début, APT24 utilise l'utilitaire d'archives RAR pour chiffrer et compresser des données volées avant de les transférer hors du réseau. Le vol de données exfiltrées à partir de cet acteur s'est principalement concentré sur des documents ayant une signification politique, ce qui suggère que son intention est de surveiller les positions de divers États-nations sur les questions relatives au différend territorial ou de souveraineté de la Chine.

Logiciels malveillants associés : PITTYTIGER, ENFAL, TAIDOOR

Vecteurs d'attaque : APT24 a utilisé des e-mails d'hameçonnage reprenant des thèmes militaires, d'énergie renouvelable ou de stratégie commerciale. Par ailleurs, APT24 participe à des cyberopérations dont l'objectif est le vol de propriété intellectuelle, et se concentre généralement sur les données et les projets qui rendent une organisation compétitive dans son secteur.

APT23

Suspicion d'attribution : Chine

Secteurs cibles : médias et administrations aux États-Unis et aux Philippines

Présentation : APT23 a volé des informations ayant une importance politique et militaire, et non de propriété intellectuelle. Cela suggère qu'APT23 pourrait effectuer des vols de données à l'occasion d'opérations de cyberespionnage plus traditionnelles.

Logiciel malveillant associé : NONGMIN

Vecteurs d'attaque : APT23 a utilisé des messages d'hameçonnage ciblé pour compromettre les réseaux de ses victimes, y compris des leurres pédagogiques. Bien que les acteurs d’APT23 ne sont pas connus pour utiliser des exploits zero-day, ils peuvent les exploiter une fois qu'ils sont rendus publics.

APT22

Autre nom : Barista

Suspicion d'attribution : Chine

Secteurs cibles : un large éventail d'entités politiques, militaires et économiques en Asie de l'Est, en Europe et aux États-Unis

Présentation : Nous pensons qu’APT22 est en lien avec la Chine et qu'il est opérationnel depuis au moins le début de l’année 2014. Il a mené des activités d’intrusion et d’attaques contre des entités des secteurs public et privé, y compris des dissidents.

Logiciels malveillants associés : PISCES, SOGU, FLATNOTE, ANGRYBELL, BASELESS, SEAWOLF, LOGJAM

Vecteurs d'attaque : les attaquants d'APT22 ont recours à des compromissions Web stratégiques pour exploiter passivement des cibles d'intérêt. APT22 a également identifié des serveurs Web vulnérables sur les réseaux de ses victimes et importé des webshells pour y accéder.

APT21

Autre nom : Zhenbao

Suspicion d'attribution : Chine

Secteurs cibles : administrations

Présentation : APT21 exploite des pièces jointes stratégiques en russe sur des questions de sécurité nationale dans des documents d'appâts. Historiquement, le contenu de l'ingénierie sociale est révélateur d'une opération de cyberespionnage visant à obtenir un accès non autorisé à des informations privilégiées concernant la sécurité de l'État en Russie. Une analyse des techniques d'APT21 suggère qu'un autre de ses domaines d'action est celui des groupes dissidents qui cherchent à bénéficier d'une plus grande autonomie ou indépendance vis-à-vis de la Chine, comme ceux du Tibet ou du Xinjiang.

Logiciels malveillants associés : SOGU, TEMPFUN, Gh0st, TRAVELNET, HOMEUNIX, ZEROTWO

Vecteurs d'attaque : APT21 exploite les e-mails d'hameçonnage ciblé contenant des pièces jointes malveillantes, des liens vers des fichiers ou des pages Web malveillants. Le groupe a également eu recours à des compromissions Web stratégiques pour cibler des victimes potentielles. APT21 utilise fréquemment deux backdoors : TRAVELNET et TEMPFUN. De manière significative, APT21 utilise principalement des backdoors personnalisées et se sert rarement d’outils publics.

APT20

Autre nom : Twivy

Suspicion d'attribution : Chine

Secteurs cibles : construction et ingénierie, santé, organisations à but non lucratif, base industrielle de la défense, sociétés de recherche et de production chimiques.

Présentation : APT20 participe à des cyberopérations dont l'objectif est le vol de données. Le groupe APT20 se livre à des vols de propriété intellectuelle, mais il semble également avoir l'intention de voler des données ou de surveiller les activités d'individus ayant des intérêts politiques particuliers. Sur la base des données disponibles, nous estimons qu'il s'agit d'un groupe d'indépendants situé en Chine parrainés par des États-nations.

Logiciels malveillants associés : QIAC, SOGU, Gh0st, ZXSHELL, Poison Ivy, BEACON, HOMEUNIX, STEW

Vecteurs d’attaque : l'utilisation par APT20 de compromissions stratégiques sur le Web donne un aperçu d'une deuxième série de cibles probables. Un grand nombre des compromissions Web stratégiques d'APT20 sont hébergées sur des sites Web (y compris en chinois) qui traitent de sujets tels que la démocratie, les droits de l'homme, la liberté de la presse, les minorités ethniques en Chine, et d'autres.

APT19

Autre nom : équipe Codoso

Suspicion d'attribution : Chine

Secteurs cibles : juridique et investissement

Présentation : groupe probablement composé d'indépendants, avec un certain soutien du gouvernement chinois.

Logiciels malveillants associés : BEACON, COBALTSTRIKE

Vecteurs d’attaque : en 2017, APT19 a utilisé trois techniques différentes pour tenter de compromettre ses cibles. Début mai, les leurres d’hameçonnage ont utilisé des pièces jointes RTF, qui exploitaient la vulnérabilité Microsoft Windows décrite dans CVE 2017-0199. Vers la fin du mois de mai, APT19 a commencé à utiliser des documents Microsoft Excel (XLSM) avec des macros activées. Dans les versions les plus récentes, APT19 a ajouté un contournement de la liste d'autorisation d'applications aux documents XLSM. Au moins un leurre d'hameçonnage observé a fourni une charge utile Cobalt Strike.

APT18

Autre nom : Wekby

Suspicion d'attribution : Chine

Secteurs cibles : aérospatiale et défense, construction et ingénierie, enseignement, santé et biotechnologie, haute technologie, télécommunications, transport

Présentation : très peu de choses ont été rendues publiques concernant ce groupe.

Logiciel malveillant associé : Gh0st RAT

Vecteurs d'attaque : exploits zero-day fréquemment développés ou adaptés pour les opérations, probablement planifiés à l'avance. Ils ont utilisé les données provenant de la fuite de Hacking Team, ce qui a démontré comment le groupe peut déplacer des ressources (comme la sélection des cibles, la préparation de l'infrastructure, la rédaction de messages, la mise à jour des outils) pour tirer parti des opportunités inattendues, telles que de nouveaux exploits exposés.

Ressources supplémentaires : Blog – "Demonstrating Hustle, Chinese APT Groups Quickly Use Zero-Day Vulnerability (CVE-2015-5119) Following Hacking Team Leak"

APT17

Autre nom : Tailgator Team, Deputy Dog

Suspicion d'attribution : Chine

Secteurs cibles : cabinets d'avocats aux États-Unis et internationaux, entreprises de technologies de l'information

Présentation : intrusion sur le réseau contre des organisations ciblées.

Logiciel malveillant associé : BLACKCOFFEE

Vecteurs d'attaque : le groupe cybercriminel a tiré parti de la possibilité de créer des profils et de publier sur des forums pour intégrer un CnC encodé afin de l'utiliser avec un variant du logiciel malveillant utilisé. Cette technique peut empêcher les professionnels de la sécurité réseau de déterminer l'emplacement réel du CnC et permettre à l'infrastructure CnC de rester active plus longtemps.

APT16

Suspicion d'attribution : Chine

Secteurs cibles : organisations japonaises et taïwanaises des secteurs de la haute technologie, des services gouvernementaux, des médias et des services financiers

Présentation : groupe basé en Chine s'intéressant aux questions politiques et journalistiques de Taïwan.

Logiciels malveillants associés : IRONHALO, ELMER

Vecteurs d'attaque : e-mails d'hameçonnage ciblé envoyés à des organisations de médias et à des adresses de messagerie Web taïwanaises. Ces documents-leurres contenaient des instructions pour l'enregistrement et la diffusion ultérieure de biens sur un site Web d'enchères taïwanais.

APT15

Suspicion d'attribution : Chine

Secteurs cibles : cibles mondiales dans les domaines du commerce, de l'économie, de la finance, de l'énergie et de l'armée, en appui des intérêts du gouvernement chinois.

Présentation : APT15 a ciblé des organisations implantées dans plusieurs pays d’Europe, aux États-Unis et en Afrique du Sud. Les opérateurs d’APT15 partagent des ressources, y compris des portes dérobées et des infrastructures, avec d’autres APT chinois.

Logiciels malveillants associés : ENFAL, BALDEAGLE, NOISEMakeR, MIRAGE

Vecteurs d’attaque : APT15 utilise généralement des e-mails d'hameçonnage ciblé bien développés pour établir les compromissions initiales contre des cibles internationales dans divers secteurs présentant un intérêt pour le gouvernement chinois. Plus important encore, APT15 utilise des portes dérobées et une infrastructure qui ne lui sont pas propres, ce qui complique la tâche d’attribution.

APT14

Suspicion d'attribution : Chine

Secteurs cibles : administration, télécommunications, construction et ingénierie

Présentation : APT14 participe à des cyberopérations dont l'objectif est le vol de données, notamment des équipements, opérations et politiques militaires et maritimes. Nous pensons que les données volées, en particulier le chiffrement et les spécifications du matériel de communication par satellite, pourraient être utilisées pour améliorer les opérations militaires, par exemple pour intercepter des signaux ou interférer avec les réseaux de communication par satellite militaire.

Logiciels malveillants associés : Gh0st, POISONIVY, CLUBSEAT, GROOVY

Vecteurs d'attaque : les attaquants APT14 n'ont généralement pas recours aux exploits zero-day, mais peuvent les exploiter une fois qu'ils sont rendus publics. Ils peuvent utiliser un outil de courrier SMTP personnalisé pour envoyer leurs messages d'hameçonnage ciblé. Les messages d'hameçonnage d'APT14 sont souvent conçus pour laisser penser qu'ils proviennent d'organisations de confiance.

APT12

Autre nom : équipe Calc

Suspicion d'attribution : Chine

Secteurs cibles : journalistes, administrations, base industrielle de la défense

Présentation : APT12 est considéré comme un groupe de cyberespionnage qui aurait des liens avec l'Armée populaire de libération de Chine. Les objectifs du groupe APT12 correspondent aux objectifs plus vastes de la République populaire de Chine. Les intrusions et campagnes menées par ce groupe sont en adéquation avec les objectifs et intérêts de la République populaire de Chine à Taïwan.

Logiciels malveillants associés : RIPTIDE, HIGHTIDE, THREBYTE, WATERSPOUT

Vecteurs d’attaque : Mandiant a observé que le groupe APT12 transmet ces documents exploitant des vulnérabilités via des e-mails d'hameçonnage provenant de comptes valides, mais compromis. Au vu des activités passées d’APT12, ce groupe devrait continuer à utiliser l'hameçonnage comme méthode de diffusion de logiciels malveillants.

Autres ressources

APT10

Autre nom : équipe Menupass

Suspicion d'attribution : Chine

Secteurs cibles : construction et ingénierie, entreprises aérospatiales et télécoms, et administrations des États-Unis, d'Europe et du Japon

Présentation : APT10 est un groupe de cyberespionnage chinois suivi par Mandiant depuis 2009. Le groupe a toujours ciblé des entreprises du secteur de la construction et de l'ingénierie, des entreprises aérospatiales et de télécommunications, ainsi que des administrations des États-Unis, d'Europe et du Japon. Nous pensons que le ciblage de ces secteurs d’activité a permis d’atteindre les objectifs de sécurité nationale de la Chine, y compris l’acquisition d’informations militaires et de renseignement précieux, mais aussi le vol de données commerciales confidentielles pour soutenir les entreprises chinoises.

Logiciels malveillants associés : HAYMakeR, SNUGRIDE, BUGJUICE, QUASARRAT

Vecteurs d’attaque : les activités récentes d’APT10 incluent l'hameçonnage ciblé traditionnel et l’accès aux réseaux des victimes par le biais de fournisseurs de services gérés. (Pour plus d'informations sur les infections via des fournisseurs de services, consultez le rapport M-Trends 2016). L'hameçonnage ciblé du groupe APT10 est relativement peu sophistiqué, exploitant des fichiers .lnk dans des archives, des fichiers avec double extension (par exemple, [Redacted]_Group_Meeting_Document_20170222_doc_.exe) et, dans certains cas, simplement des documents-leurres et des lanceurs malveillants portant des noms identiques dans la même archive. Parallèlement au hameçonnage ciblé, Mandiant Threat Intelligence a constaté que le groupe APT10 accédait à ses victimes via des fournisseurs de services internationaux.

Autres ressources

Autres ressources

APT9

Suspicion d'attribution : d'après les données disponibles, nous estimons qu'il s'agit d'un groupe d'indépendants bénéficiant d'un soutien par des États-nations, peut-être la Chine.

Secteurs cibles : organisations basées dans plusieurs pays et dans des secteurs tels que la santé et les produits pharmaceutiques, la construction et l'ingénierie, l'aérospatiale et la défense.

Présentation : APT9 participe à des cyberopérations dont l'objectif est le vol de données, et se concentre généralement sur les données et les projets qui rendent une entreprise compétitive dans son secteur.

Logiciels malveillants associés : SOGU, HOMEUNIX, PHOTO, FUNRUN, Gh0st, ZXSHEL

Vecteurs d'attaque : APT9 a toujours été très actif dans les secteurs des produits pharmaceutiques et des biotechnologies. Nous avons constaté que ce groupe recourait au hameçonnage ciblé, à des comptes valides et à des services distants pour effectuer un premier accès. À au moins une occasion, Mandiant a observé le groupe APT9 dans deux entreprises du secteur de la biotechnologie et soupçonne que ses attaquants ont pu établir un premier accès à l'une d'entre elles grâce à une relation de confiance entre les deux entreprises. APT9 utilise un large éventail de portes dérobées, y compris des portes dérobées publiques, ainsi que des portes dérobées considérées comme personnalisées, mais qui sont utilisées par plusieurs groupes APT.

APT 8

Suspicion d'attribution : Chine

Secteurs cibles : nombreux secteurs, dont les médias et le divertissement, la construction et l'ingénierie, l'aérospatiale et la défense

Présentation : APT8 participe à des cyberopérations dont l’objectif est le vol de propriété intellectuelle et se concentre généralement sur les données et les projets qui rendent une organisation compétitive dans son secteur. Nous pensons qu'il s'agit d'un groupe d'indépendants situé en Chine et bénéficiant d'un soutien par des États-nations. APT8 a ciblé des organisations basées dans plusieurs pays, dont l'Allemagne, les États-Unis, l'Inde, le Japon et le Royaume-Uni.

Logiciels malveillants associés : HASH, FLYZAP, GOLFPRO, SAFEPUTT

Vecteurs d’attaque : les attaquants du groupe ATP8 utilisent souvent des e-mails d'hameçonnage ciblé contenant des pièces jointes ou des liens malveillants, ou exploitent des serveurs Web vulnérables accessibles depuis Internet pour compromettre des organisations cibles. Par ailleurs, au cours de plusieurs intrusions, APT8 a envoyé des liens malveillants aux victimes potentielles par chat ou messagerie instantanée.

APT 7

Suspicion d'attribution : Chine

Secteurs cibles : construction, ingénierie, aérospatiale et base industrielle de la défense

Présentation : APT7 participe à des cyberopérations dont l’objectif est le vol de propriété intellectuelle et se concentre généralement sur les données et les projets qui rendent une organisation compétitive dans son secteur. Ce groupe est connu pour avoir ciblé des entreprises dont le siège social est situé aux États-Unis et au Royaume-Uni.

Logiciel malveillant associé : DIGDUG, TRACKS

Vecteurs d'attaque : les attaquants d'APT7 ont utilisé un accès à une organisation pour infiltrer une autre organisation de la même société mère. Il s’agit d’une forme de mouvement latéral, mais dans ce cas, c'était également la méthode initiale de compromission pour la deuxième organisation.

APT6

Suspicion d'attribution : Chine

Secteurs cibles : transports, automobile, construction et ingénierie, télécommunications, électronique, construction et matériaux

Présentation : APT6 participe à des cyberopérations dont l’objectif est le vol de données. Il s’agit probablement de données et de projets qui rendent les entreprises compétitives dans leur secteur. APT6 a ciblé des organisations basées aux États-Unis et au Royaume-Uni.

Logiciels malveillants associés : BELUGA, EXCHAIN, PUPTENT

Vecteurs d’attaque : APT6 fait appel à plusieurs portes dérobées personnalisées, dont certaines sont utilisées par d'autres groupes APT et d'autres qui lui sont propres.

APT 5

Suspicion d'attribution : Chine

Secteurs cibles : fournisseurs régionaux de télécommunications, employés basés en Asie d'entreprises technologiques et de télécommunications internationales, fabrication de haute technologie et technologies d'applications militaires aux États-Unis, en Europe et en Asie.

Présentation : APT5 est actif depuis au moins 2007. APT5 a déjà ciblé ou pénétré des organisations de divers secteurs d’activité, mais semble se concentrer sur des entreprises du secteur des télécommunications et de la technologie, en particulier les informations sur les communications satellite. Dès 2014, Mandiant Incident Response a découvert qu’APT5 apportait des modifications non autorisées au code de fichiers dans le système d’exploitation embarqué d’une autre plateforme technologique. En 2015, APT5 a compromis une entreprise de télécommunications américaine fournissant des services et des technologies à des entités privées et publiques. Au cours de cette intrusion, les attaquants ont téléchargé et modifié certaines images de routeurs associées aux routeurs réseau de l’entreprise. Au cours de cette période, APT5 a également volé des fichiers liés à la technologie militaire à une organisation de défense d'Asie du Sud. Les noms de fichiers observés laissent penser que les acteurs étaient intéressés par les caractéristiques des produits, les e-mails concernant les produits techniques, les appels d’offres et propositions d’approvisionnement, ainsi que les documents sur les drones.

Logiciel malveillant associé : BRIGHTCREST, SWEETCOLA, SPIRITBOX, PALEJAB, WIDERIM, WINVAULT, HAPPYSAD, BIRDWORLD, FARCRY, CYFREE, FULLSILO, HELLOTHEWORLD, HAZELNUT, GIF89A, SCREENBIND, SHINYFUR, TRUCKBED, LEOUNCIA, FREESWIM, PULLTAB, HIREDHELP, NEDDYHORSE, PITCHFORK, BRIGHTCOMB, ENCORE, TABCTENG, SHORTLEASH, CLEANACT, BRIGHTCYAN, DANCEPARTY, HALFBACK, PUSHBACK, COOLWHIP, LOWBID, TIGHTROPE, DIRTYWORD, AURIGA, KEYFANG, Poison Ivy

Vecteurs d'attaque : il semble s'agir d'un vaste groupe constitué de plusieurs sous-groupes, souvent dotés de tactiques et d'infrastructures différentes. Le groupe utilise des logiciels malveillants dotés de capacités d'enregistrement de frappe pour cibler spécifiquement les réseaux d'entreprise, les employés et les cadres des sociétés de télécommunications. APT5 s'est montré très intéressé par la compromission des équipements réseau et la manipulation du logiciel sous-jacent de ces équipements.

APT 4

Autre nom : Maverick Panda, Sykipot Group, Wisp

Suspicion d'attribution : Chine

Secteurs cibles : aérospatiale et défense, ingénierie industrielle, électronique, automobile, administrations, télécommunications et transports

Présentation : APT4 semble cibler plus fréquemment la base industrielle de la défense (DIB) que d’autres entreprises. Cependant, son historique d’intrusions ciblées est vaste.

Logiciels malveillants associés : GETKYS, LIFESAVER, CCHIP, SHYLILT, SWEETTOOTH, PHOTO, SOGO

Vecteurs d'attaque : les acteurs du groupe APT4 exploitent souvent les messages d'hameçonnage ciblé sur des thèmes tels que le gouvernement ou le département de la Défense des États-Unis, ou les bases industrielles de la défense. Les acteurs du groupe APT4 peuvent réutiliser des contenus valides provenant de sites Web du gouvernement ou du département américain de la Défense dans leurs corps de messages pour leur donner toute leur légitimité.

APT 3

Autre nom : équipe UPS

Suspicion d'attribution : Chine

Secteurs cibles : aérospatiale et défense, construction et ingénierie, haute technologie, télécommunications, transport

Présentation : le groupe chinois APT3 est l’un des groupes les plus perfectionnés surveillés par Mandiant Threat Intelligence. Il a l'habitude d'utiliser des exploits basés sur des navigateurs comme zero-day (par exemple, Internet Explorer, Firefox et Adobe Flash Player). Après avoir exploité un hôte cible, ce groupe va rapidement vider les identifiants, se déplacer latéralement vers d’autres hôtes et installer des portes dérobées personnalisées. L’infrastructure de commande et de contrôle (CnC) d’APT3 est difficile à suivre, car il existe peu de chevauchements entre les campagnes.

Logiciels malveillants associés : SHOTPUT, COOKIECUTTER, SOGU

Vecteurs d'attaque : les e-mails d'hameçonnage utilisés par APT3 sont généralement de nature générique et semblent presque être du spam. Ces attaques ont exploité une faille non corrigée qui se trouvait dans la façon dont Adobe Flash Player analyse les fichiers Flash Video (FLV). L'exploit utilise des techniques courantes de corruption des vecteurs pour contourner la randomisation de l'espace d'adressage (ASLR) et une technique ROP (return-oriented programming) pour contourner la protection de l'exécution des données (DEP). Une astuce ingénieuse de leur technique ROP rend celle-ci plus facile à exploiter et permet de contourner certaines techniques de détection ROP. Le code shell est stocké dans le fichier d'exploit Adobe Flash Player compressé avec une clé utilisée pour son déchiffrement. La charge utile est encodée au format XOR et cachée dans une image.

Autres ressources

Autres ressources

APT 2

Suspicion d'attribution : Chine

Secteurs cibles : militaire et aérospatiale

Présentation : ce groupe a été observé pour la première fois en 2010. APT2 participe à des cyberopérations dont l’objectif est le vol de propriété intellectuelle et se concentre généralement sur les données et les projets qui rendent une organisation compétitive dans son secteur.

Logiciels malveillants associés : MOOSE, WARP

Vecteurs d'attaque : e-mails d'hameçonnage ciblé qui exploitent la vulnérabilité CVE-2012-0158.

APT 30

Suspicion d'attribution : Chine

Secteurs cibles : membres de l'Association des nations de l'Asie du Sud-Est (ASEAN)

Présentation : APT30 est connu non seulement pour son activité soutenue sur une longue période, mais aussi pour sa capacité à modifier et adapter efficacement le code source afin de conserver les mêmes outils, tactiques et infrastructures depuis au moins 2005. Les preuves montrent que le groupe hiérarchise les cibles, qu'il travaille très probablement en équipes dans un environnement collaboratif et qu'il construit des logiciels malveillants à partir d'un plan de développement cohérent. Le groupe est capable d'infecter les réseaux sous air gap depuis 2005.

Logiciel malveillant associé : SHIPSHAPE, SPACESHIP, FLASHFLOOD

Vecteurs d'attaque : APT30 utilise une suite d'outils comprenant des outils de téléchargement, des portes dérobées, un contrôleur central et plusieurs composants conçus pour infecter les disques amovibles et traverser les réseaux sous air gap pour voler des données. APT30 enregistre fréquemment ses propres domaines DNS pour détecter les activités CnC de logiciels malveillants.

APT 27

Suspicion d'attribution : Chine

Secteurs ciblés : APT27 a ciblé plusieurs organisations, dont le siège social est disséminé dans le monde entier, notamment en Amérique du Nord et du Sud, en Europe et au Moyen-Orient. Ces organisations appartiennent à différents secteurs, y compris les services aux entreprises, la haute technologie, les administrations et l'énergie, mais elles sont souvent dans les secteurs de l'aérospatiale, des transports et du tourisme.

Présentation : APT27 participe à des cyberopérations dont l'objectif est le vol de propriété intellectuelle, et se concentre généralement sur les données et les projets qui rendent une organisation compétitive dans son secteur.

Logiciels malveillants associés : PANDORA, SOGU, ZXSHELL, GHOST, WIDEBERTH, QUICKPULSE, FLOWERPOT

Vecteurs d'attaque : APT27 utilise souvent l'hameçonnage ciblé comme méthode initiale de compromission. Les cybercriminels d’APT27 ne sont pas réputés pour leurs exploits zero-day originaux, mais ils peuvent les exploiter une fois qu'ils sont rendus publics. Dans au moins un cas, les acteurs d'APT27 ont utilisé le compte d’une organisation victime pour envoyer un e-mail d'hameçonnage ciblé à d’autres victimes dans des secteurs similaires. De plus, APT27 pourrait compromettre des applications Web vulnérables pour établir une présence initiale.

APT 26

Suspicion d'attribution : Chine

Secteurs cibles : aérospatiale, défense et énergie, entre autres

Présentation : APT26 participe à des cyberopérations dont l'objectif est le vol de propriété intellectuelle, et se concentre généralement sur les données et les projets qui rendent une organisation compétitive dans son secteur.

Logiciels malveillants associés : SOGU, HTRAN, POSTSIZE, TWOCHAINS, BEACON

Vecteurs d'attaque : le groupe a fréquemment recours à des compromissions Web stratégiques pour accéder à des réseaux ciblés et à des portes dérobées personnalisées lorsqu'il est dans l'environnement de sa victime.

APT 25

Autre nom : Uncool, Vixen Panda, Ke3chang, Sushi Roll, Tor

Suspicion d'attribution : Chine

Secteurs cibles : base industrielle de la défense, médias, services financiers et transports aux États-Unis et en Europe.

Présentation : APT25 participe à des cyberopérations dont l'objectif est le vol de données.

Logiciels malveillants associés : LINGBO, PLAYWORK, MADWOFL, MIRAGE, TOUGHROW, TOYSNAKE, SABERTOOTH

Vecteurs d'attaque : APT25 a toujours utilisé l'hameçonnage ciblé dans ses opérations, y compris des messages contenant des pièces jointes malveillantes et des liens hypertextes malveillants. Habituellement, les attaquants d’APT25 n’utilisent pas d'exploits zero-day, mais ils peuvent s’en servir une fois qu’ils ont été rendus publics.

APT 24

Autre nom : PittyTiger

Suspicion d'attribution : Chine

Secteurs cibles : APT24 a ciblé un large éventail d'industries, y compris des organisations dans les secteurs administratifs, des soins de santé, de la construction et de l'ingénierie, de l'exploitation minière, des organisations à but non lucratif et des télécommunications.

Présentation : ce groupe est connu pour avoir ciblé des entreprises dont le siège social est situé dans des pays tels que les États-Unis et Taïwan. Depuis le début, APT24 utilise l'utilitaire d'archives RAR pour chiffrer et compresser des données volées avant de les transférer hors du réseau. Le vol de données exfiltrées à partir de cet acteur s'est principalement concentré sur des documents ayant une signification politique, ce qui suggère que son intention est de surveiller les positions de divers États-nations sur les questions relatives au différend territorial ou de souveraineté de la Chine.

Logiciels malveillants associés : PITTYTIGER, ENFAL, TAIDOOR

Vecteurs d'attaque : APT24 a utilisé des e-mails d'hameçonnage reprenant des thèmes militaires, d'énergie renouvelable ou de stratégie commerciale. Par ailleurs, APT24 participe à des cyberopérations dont l'objectif est le vol de propriété intellectuelle, et se concentre généralement sur les données et les projets qui rendent une organisation compétitive dans son secteur.

APT 23

Suspicion d'attribution : Chine

Secteurs cibles : médias et administrations aux États-Unis et aux Philippines

Présentation : APT23 a volé des informations ayant une importance politique et militaire, et non de propriété intellectuelle. Cela suggère qu'APT23 pourrait effectuer des vols de données à l'occasion d'opérations de cyberespionnage plus traditionnelles.

Logiciel malveillant associé : NONGMIN

Vecteurs d'attaque : APT23 a utilisé des messages d'hameçonnage ciblé pour compromettre les réseaux de ses victimes, y compris des leurres pédagogiques. Bien que les acteurs d’APT23 ne sont pas connus pour utiliser des exploits zero-day, ils peuvent les exploiter une fois qu'ils sont rendus publics.

APT 12

Autre nom : équipe Calc

Suspicion d'attribution : Chine

Secteurs cibles : journalistes, administrations, base industrielle de la défense

Présentation : APT12 est considéré comme un groupe de cyberespionnage qui aurait des liens avec l'Armée populaire de libération de Chine. Les objectifs du groupe APT12 correspondent aux objectifs plus vastes de la République populaire de Chine. Les intrusions et campagnes menées par ce groupe sont en adéquation avec les objectifs et intérêts de la République populaire de Chine à Taïwan.

Logiciels malveillants associés : RIPTIDE, HIGHTIDE, THREBYTE, WATERSPOUT

Vecteurs d’attaque : Mandiant a observé que le groupe APT12 transmet ces documents exploitant des vulnérabilités via des e-mails d'hameçonnage provenant de comptes valides, mais piratés. Au vu des activités passées d’APT12, ce groupe devrait continuer à utiliser l'hameçonnage comme méthode de diffusion de logiciels malveillants.

Autres ressources

APT 10

Autre nom : équipe Menupass

Suspicion d'attribution : Chine

Secteurs cibles : construction et ingénierie, entreprises aérospatiales et télécoms, et administrations des États-Unis, d'Europe et du Japon

Présentation : APT10 est un groupe de cyberespionnage chinois suivi par Mandiant depuis 2009. Le groupe a toujours ciblé des entreprises du secteur de la construction et de l'ingénierie, des entreprises aérospatiales et de télécommunications, ainsi que des administrations des États-Unis, d'Europe et du Japon. Nous pensons que le ciblage de ces secteurs d’activité a permis d’atteindre les objectifs de sécurité nationale de la Chine, y compris l’acquisition d’informations militaires et de renseignement précieux, mais aussi le vol de données commerciales confidentielles pour soutenir les entreprises chinoises.

Logiciels malveillants associés : HAYMakeR, SNUGRIDE, BUGJUICE, QUASARRAT

Vecteurs d’attaque : les activités récentes d’APT10 incluent l'hameçonnage ciblé traditionnel et l’accès aux réseaux des victimes par le biais de fournisseurs de services gérés. (Pour plus d'informations sur les infections via des fournisseurs de services, consultez le rapport M-Trends 2016). L'hameçonnage ciblé du groupe APT10 est relativement peu sophistiqué, exploitant des fichiers .lnk dans des archives, des fichiers avec double extension (par exemple, [Redacted]_Group_Meeting_Document_20170222_doc_.exe) et, dans certains cas, simplement des documents-leurres et des lanceurs malveillants portant des noms identiques dans la même archive. Parallèlement au hameçonnage ciblé, Mandiant Threat Intelligence a constaté que le groupe APT10 accédait à ses victimes via des fournisseurs de services internationaux.

Autres ressources

Autres ressources

APT 9

Suspicion d'attribution : d'après les données disponibles, nous estimons qu'il s'agit d'un groupe d'indépendants bénéficiant d'un soutien par des États-nations, peut-être la Chine.

Secteurs cibles : organisations basées dans plusieurs pays et dans des secteurs tels que la santé et les produits pharmaceutiques, la construction et l'ingénierie, l'aérospatiale et la défense.

Présentation : APT9 participe à des cyberopérations dont l'objectif est le vol de données, et se concentre généralement sur les données et les projets qui rendent une entreprise compétitive dans son secteur.

Logiciels malveillants associés : SOGU, HOMEUNIX, PHOTO, FUNRUN, Gh0st, ZXSHEL

Vecteurs d'attaque : APT9 a toujours été très actif dans les secteurs des produits pharmaceutiques et des biotechnologies. Nous avons constaté que ce groupe recourait au hameçonnage ciblé, à des comptes valides et à des services distants pour effectuer un premier accès. À au moins une occasion, Mandiant a observé le groupe APT9 dans deux entreprises du secteur de la biotechnologie et soupçonne que ses attaquants ont pu établir un premier accès à l'une d'entre elles grâce à une relation de confiance entre les deux entreprises. APT9 utilise un large éventail de portes dérobées, y compris des portes dérobées publiques, ainsi que des portes dérobées considérées comme personnalisées, mais qui sont utilisées par plusieurs groupes APT.

APT 8

Suspicion d'attribution : Chine

Secteurs cibles : nombreux secteurs, dont les médias et le divertissement, la construction et l'ingénierie, l'aérospatiale et la défense

Présentation : APT8 participe à des cyberopérations dont l’objectif est le vol de propriété intellectuelle et se concentre généralement sur les données et les projets qui rendent une organisation compétitive dans son secteur. Nous pensons qu'il s'agit d'un groupe d'indépendants situé en Chine et bénéficiant d'un soutien par des États-nations. APT8 a ciblé des organisations basées dans plusieurs pays, dont l'Allemagne, les États-Unis, l'Inde, le Japon et le Royaume-Uni.

Logiciels malveillants associés : HASH, FLYZAP, GOLFPRO, SAFEPUTT

Vecteurs d’attaque : les attaquants du groupe ATP8 utilisent souvent des e-mails d'hameçonnage ciblé contenant des pièces jointes ou des liens malveillants, ou exploitent des serveurs Web vulnérables accessibles depuis Internet pour compromettre des organisations cibles. Par ailleurs, au cours de plusieurs intrusions, APT8 a envoyé des liens malveillants aux victimes potentielles par chat ou messagerie instantanée.

APT 7

Suspicion d'attribution : Chine

Secteurs cibles : construction, ingénierie, aérospatiale et base industrielle de la défense

Présentation : APT7 participe à des cyberopérations dont l’objectif est le vol de propriété intellectuelle et se concentre généralement sur les données et les projets qui rendent une organisation compétitive dans son secteur. Ce groupe est connu pour avoir ciblé des entreprises dont le siège social est situé aux États-Unis et au Royaume-Uni.

Logiciel malveillant associé : DIGDUG, TRACKS

Vecteurs d'attaque : les attaquants d'APT7 ont utilisé un accès à une organisation pour infiltrer une autre organisation de la même société mère. Il s’agit d’une forme de mouvement latéral, mais dans ce cas, c'était également la méthode initiale de compromission pour la deuxième organisation.

APT 6

Suspicion d'attribution : Chine

Secteurs cibles : transports, automobile, construction et ingénierie, télécommunications, électronique, construction et matériaux

Présentation : APT6 participe à des cyberopérations dont l’objectif est le vol de données. Il s’agit probablement de données et de projets qui rendent les entreprises compétitives dans leur secteur. APT6 a ciblé des organisations basées aux États-Unis et au Royaume-Uni.

Logiciels malveillants associés : BELUGA, EXCHAIN, PUPTENT

Vecteurs d’attaque : APT6 fait appel à plusieurs portes dérobées personnalisées, dont certaines sont utilisées par d'autres groupes APT et d'autres qui lui sont propres.

APT 5

Suspicion d'attribution : Chine

Secteurs cibles : fournisseurs régionaux de télécommunications, employés basés en Asie d'entreprises technologiques et de télécommunications internationales, fabrication de haute technologie et technologies d'applications militaires aux États-Unis, en Europe et en Asie.

Présentation : APT5 est actif depuis au moins 2007. APT5 a déjà ciblé ou pénétré des organisations de divers secteurs d’activité, mais semble se concentrer sur des entreprises du secteur des télécommunications et de la technologie, en particulier les informations sur les communications satellite. Dès 2014, Mandiant Incident Response a découvert qu’APT5 apportait des modifications non autorisées au code de fichiers dans le système d’exploitation embarqué d’une autre plateforme technologique. En 2015, APT5 a compromis une entreprise de télécommunications américaine fournissant des services et des technologies à des entités privées et publiques. Au cours de cette intrusion, les attaquants ont téléchargé et modifié certaines images de routeurs associées aux routeurs réseau de l’entreprise. Au cours de cette période, APT5 a également volé des fichiers liés à la technologie militaire à une organisation de défense d'Asie du Sud. Les noms de fichiers observés laissent penser que les acteurs étaient intéressés par les caractéristiques des produits, les e-mails concernant les produits techniques, les appels d’offres et propositions d’approvisionnement, ainsi que les documents sur les drones.

Logiciel malveillant associé : BRIGHTCREST, SWEETCOLA, SPIRITBOX, PALEJAB, WIDERIM, WINVAULT, HAPPYSAD, BIRDWORLD, FARCRY, CYFREE, FULLSILO, HELLOTHEWORLD, HAZELNUT, GIF89A, SCREENBIND, SHINYFUR, TRUCKBED, LEOUNCIA, FREESWIM, PULLTAB, HIREDHELP, NEDDYHORSE, PITCHFORK, BRIGHTCOMB, ENCORE, TABCTENG, SHORTLEASH, CLEANACT, BRIGHTCYAN, DANCEPARTY, HALFBACK, PUSHBACK, COOLWHIP, LOWBID, TIGHTROPE, DIRTYWORD, AURIGA, KEYFANG, Poison Ivy

Vecteurs d'attaque : il semble s'agir d'un vaste groupe constitué de plusieurs sous-groupes, souvent dotés de tactiques et d'infrastructures différentes. Le groupe utilise des logiciels malveillants dotés de capacités d'enregistrement de frappe pour cibler spécifiquement les réseaux d'entreprise, les employés et les cadres des sociétés de télécommunications. APT5 s'est montré très intéressé par la compromission des équipements réseau et la manipulation du logiciel sous-jacent de ces équipements.

APT 4

Autre nom : Maverick Panda, Sykipot Group, Wisp

Suspicion d'attribution : Chine

Secteurs cibles : aérospatiale et défense, ingénierie industrielle, électronique, automobile, administrations, télécommunications et transports

Présentation : APT4 semble cibler plus fréquemment la base industrielle de la défense (DIB) que d’autres entreprises. Cependant, son historique d’intrusions ciblées est vaste.

Logiciels malveillants associés : GETKYS, LIFESAVER, CCHIP, SHYLILT, SWEETTOOTH, PHOTO, SOGO

Vecteurs d'attaque : les acteurs du groupe APT4 exploitent souvent les messages d'hameçonnage ciblé sur des thèmes tels que le gouvernement ou le département de la Défense des États-Unis, ou les bases industrielles de la défense. Les acteurs du groupe APT4 peuvent réutiliser des contenus valides provenant de sites Web du gouvernement ou du département américain de la Défense dans leurs corps de messages pour leur donner toute leur légitimité.

APT 3

Autre nom : équipe UPS

Suspicion d'attribution : Chine

Secteurs cibles : aérospatiale et défense, construction et ingénierie, haute technologie, télécommunications, transport

Présentation : le groupe chinois APT3 est l’un des groupes les plus perfectionnés surveillés par Mandiant Threat Intelligence. Il a l'habitude d'utiliser des exploits basés sur des navigateurs comme zero-day (par exemple, Internet Explorer, Firefox et Adobe Flash Player). Après avoir exploité un hôte cible, ce groupe va rapidement vider les identifiants, se déplacer latéralement vers d’autres hôtes et installer des portes dérobées personnalisées. L’infrastructure de commande et de contrôle (CnC) d’APT3 est difficile à suivre, car il existe peu de chevauchements entre les campagnes.

Logiciels malveillants associés : SHOTPUT, COOKIECUTTER, SOGU

Vecteurs d'attaque : les e-mails d'hameçonnage utilisés par APT3 sont généralement de nature générique et semblent presque être du spam. Ces attaques ont exploité une faille non corrigée qui se trouvait dans la façon dont Adobe Flash Player analyse les fichiers Flash Video (FLV). L'exploit utilise des techniques courantes de corruption des vecteurs pour contourner la randomisation de l'espace d'adressage (ASLR) et une technique ROP (return-oriented programming) pour contourner la protection de l'exécution des données (DEP). Une astuce ingénieuse de leur technique ROP rend celle-ci plus facile à exploiter et permet de contourner certaines techniques de détection ROP. Le code shell est stocké dans le fichier d'exploit Adobe Flash Player compressé avec une clé utilisée pour son déchiffrement. La charge utile est encodée au format XOR et cachée dans une image.

Autres ressources

Autres ressources

APT 2

Suspicion d'attribution : Chine

Secteurs cibles : militaire et aérospatiale

Présentation : ce groupe a été observé pour la première fois en 2010. APT2 participe à des cyberopérations dont l’objectif est le vol de propriété intellectuelle et se concentre généralement sur les données et les projets qui rendent une organisation compétitive dans son secteur.

Logiciels malveillants associés : MOOSE, WARP

Vecteurs d'attaque : e-mails d'hameçonnage ciblé qui exploitent la vulnérabilité CVE-2012-0158.

APT 1

Autre nom : Unit 61398, Comment Crew

Suspicion d'attribution : le 3e Département (总参三部二局) de l'État-Major Général de l'Armée populaire de libération de Chine, plus connu sous son désignateur de couverture d'unité militaire comme l'Unité 61398 (61398部队).

Secteurs cibles : technologies de l'information, aérospatiale, administration publique, satellites et télécommunications, recherche scientifique et conseil, énergie, transport, construction et fabrication, services d'ingénierie, électronique de haute technologie, organisations internationales, services juridiques, médias, publicité et divertissement, navigation, produits chimiques, services financiers, alimentation et agriculture, santé, métaux et exploitation minière, enseignement

Présentation : APT1 a systématiquement volé des centaines de téraoctets de données à au moins 141 organisations, et a démontré sa capacité et son intention de voler des dizaines d'organisations simultanément. Le groupe s’efforce de mettre en danger les organisations dans de nombreux secteurs d’activité dans les pays anglophones. La taille de l’infrastructure d’APT1 implique une grande organisation comptant au moins des dizaines, voire des centaines d’opérateurs humains.

Logiciel malveillant associé : TROJAN.ECLTYS, BACKDOOR.BARKIOFORK, BACKDOOR.WAKEMINAP, TROJAN.DOWNBOT, BACKDOOR.DALBOT, BACKDOOR.REVIRD, TROJAN.BADNAME, BACKDOOR.WUALESS

Vecteurs d'attaque : la méthode de compromission initiale la plus couramment observée est l'hameçonnage ciblé. Les e-mails d'hameçonnage ciblé contiennent une pièce jointe malveillante ou un lien hypertexte vers un fichier malveillant. L'objet et le texte dans le corps de l'e-mail sont généralement pertinents pour le destinataire. APT1 crée également des comptes de messagerie Web en utilisant les noms de personnes réelles. Si les intrus d’APT1 utilisent occasionnellement des portes dérobées publiques telles que Poison Ivy et Gh0st RAT, la grande majorité du temps, ils utilisent des portes dérobées qui semblent être leurs propres portes dérobées personnalisées. Tout au long de leur présence sur le réseau (qui peut durer plusieurs années), APT1 installe généralement de nouvelles portes dérobées au fur et à mesure qu'il prend le contrôle de nouveaux systèmes dans l’environnement. Ainsi, si une porte dérobée est découverte et supprimée, ils peuvent toujours utiliser d’autres portes dérobées. Lorsque le groupe APT1 est présent depuis plus de quelques semaines, nous détectons généralement plusieurs familles de portes dérobées APT1 disséminées sur le réseau de ses victimes.

APT43

Suspicion d'attribution : Corée du Nord

Secteurs cibles : APT43 est étroitement lié aux intérêts de l'État et est fortement corrélé aux développements géopolitiques qui affectent Kim Jong-un. APT43 a régulièrement mené des activités d'espionnage contre des organisations sud-coréennes et américaines. En 2021, son attention s'est portée sur le secteur de la santé en réponse à la pandémie de COVID-19.

Présentation : APT43 est un cyberacteur prolifique qui défend les intérêts du régime nord-coréen. Le groupe combine des capacités techniques moyennement sophistiquées à des tactiques d'ingénierie sociale agressives, en particulier contre les organisations gouvernementales, les universitaires et les groupes de réflexion sud-coréens et américains axés sur les questions géopolitiques de la péninsule coréenne. En plus de ses campagnes d'espionnage, nous pensons qu'APT43 se finance par le biais d'opérations de cybercriminalité pour soutenir sa mission principale de collecte de renseignements stratégiques. APT43 a collaboré avec d'autres opérateurs d'espionnage nord-coréens lors de plusieurs opérations, ce qui souligne son rôle majeur dans le cyberarsenal du régime.

Logiciels malveillants associés : le groupe utilise plusieurs familles de logiciels malveillants, y compris, mais sans s'y limiter, gh0st RAT, QUASARRAT, AMADEY, BITTERSWEET, COINTOSS et LATEOP.

Vecteurs d'attaque : APT43 a mis en place des campagnes d'hameçonnage ciblé pour mener à bien ses tactiques d'ingénierie sociale élaborées. Le groupe crée de nombreux profils falsifiés et frauduleux à des fins d'ingénierie sociale, ainsi que des identités fictives pour acquérir des outils et des infrastructures opérationnels.

Autres ressources

Autres ressources

Autres ressources

Autres ressources

APT 38

Suspicion d'attribution : Corée du Nord

Secteurs cibles : institutions financières du monde entier

Présentation : notre analyse du groupe cybercriminel nord-coréen que nous appelons APT38 révèle qu’il est à l’origine des plus grands vols cybernétiques observés. Bien qu’APT38 partage des ressources sur le développement de logiciels malveillants et le soutien de l’État de Corée du Nord avec un groupe appelé « Lazarus » par la communauté de la sécurité, nous pensons que ses motivations financières, ses outils uniques, ainsi que ses tactiques, techniques et procédures (TTP) sont suffisamment différents pour être suivis séparément des autres cyberactivités de Corée du Nord.

Logiciels malveillants associés : ce groupe vaste et prolifique utilise différentes familles de logiciels malveillants personnalisées, dont des portes dérobées, des tunneliers, des mineurs de données et des logiciels malveillants destructeurs pour dérober des millions de dollars aux institutions financières et rendre les réseaux des victimes inopérants.

Vecteurs d'attaque : APT38 a mené ses opérations dans plus de 16 organisations à travers au moins 11 pays. Les membres de ce groupe sont prudents, calculés et ont fait preuve d'une volonté de conserver l'accès aux environnements de leurs victimes aussi longtemps que nécessaire pour comprendre la structure du réseau, les autorisations requises et les technologies système nécessaires pour atteindre ses objectifs. APT38 est unique en son genre, car il n'a pas peur de détruire agressivement des données ou des réseaux de victimes dans le cadre de ses opérations.

Autres ressources

APT 37

Suspicion d'attribution : Corée du Nord

Secteurs cibles : principalement la Corée du Sud, ainsi que le Japon, le Vietnam et le Moyen-Orient, dans différents secteurs d'activité, dont la chimie, l'électronique, la fabrication, l'aérospatiale, l'automobile et la santé.

Présentation : notre analyse des activités récentes d'APT37 révèle que ses opérations sont de plus en plus étendues et sophistiquées, avec un ensemble d'outils offrant l'accès aux vulnérabilités zero-day et aux logiciels malveillants de suppression de données. Compte tenu des artefacts de développement de logiciels malveillants et du ciblage en adéquation avec les intérêts de l'État de Corée du Nord, nous estimons que ces activités sont menées au nom du gouvernement nord-coréen. Pour Mandiant Threat Intelligence, APT37 fait partie des activités annoncées publiquement sous les noms de Scarcruft et Group123.

Logiciel malveillant associé : suite diversifiée de logiciels malveillants lors d'une intrusion initiale et d'une exfiltration. En plus des logiciels malveillants personnalisés utilisés à des fins de cyberespionnage, APT37 a également accès à des logiciels malveillants destructeurs.

Vecteurs d'attaque : tactiques d'ingénierie sociale adaptées spécifiquement aux cibles souhaitées, compromissions Web stratégiques typiques des opérations de cyberespionnage ciblées et utilisation de sites de partage de fichiers par torrent pour distribuer des logiciels malveillants sans distinction. Exploitation fréquente de failles dans Hangul Word Processor (HWP), ainsi que dans Adobe Flash. Le groupe a prouvé son accès aux vulnérabilités zero-day (CVE-2018-0802) et sa capacité à les intégrer à ses opérations.

Autres ressources

APT42

Suspicion d'attribution : Iran

Secteurs cibles : APT42 cible principalement des personnes ou des groupes qui s'opposent au régime iranien actuel, en essayant d'accéder à leurs comptes personnels et à leurs appareils mobiles. Le groupe a également ciblé de manière constante des groupes de réflexion, des chercheurs et des journalistes occidentaux, des fonctionnaires occidentaux en poste, d'anciens fonctionnaires iraniens, ainsi que la diaspora iranienne à l'étranger.

Présentation : APT42 est un groupe de cyberespionnage soutenu par l'État iranien. Il est chargé de recueillir des informations et de mener des opérations de surveillance contre des personnes et des organisations présentant un intérêt stratégique pour le gouvernement iranien. Les opérations du groupe, conçues pour gagner la confiance de ses victimes, ont notamment consisté à accéder aux comptes de messagerie personnels et professionnels de fonctionnaires, d'anciens responsables politiques ou de personnalités politiques iraniens, de membres de la diaspora iranienne et de groupes d'opposition, de journalistes et d'universitaires menant des recherches sur l'Iran. 

Logiciels malveillants associés : le groupe utilise plusieurs familles de logiciels malveillants, y compris, mais sans s'y limiter, TAMECAT, TABBYCAT, VBREVSHELL, POWERPOST, BROKEYOLK, CHAIRSMACK et ASYNCRAT.

Vecteurs d'attaque : comme la plupart des groupes, APT42 a mené des campagnes d'hameçonnage. Toutefois, son principal vecteur d'attaque a été l'utilisation de logiciels malveillants sur mobile, qui ont permis de géolocaliser les victimes, d'enregistrer leurs conversations téléphoniques, d'accéder à leurs vidéos et images, et d'extraire l'intégralité de leur boîte de réception SMS.

Autres ressources

Autres ressources

Autres ressources

Autres ressources

APT 39

Suspicion d'attribution : Iran

Secteurs cibles : si le champ de ciblage d'APT39 est mondial, ses activités se concentrent au Moyen-Orient. APT39 a accordé la priorité au secteur des télécommunications, en ciblant davantage le secteur du tourisme et les sociétés informatiques qui le sous-tendent ainsi que le secteur de la haute technologie.

Présentation : l'accent mis par le groupe sur les télécommunications et les secteurs du tourisme suggère l'intention d'effectuer des opérations de surveillance, de suivi et de surveillance de personnes spécifiques, de collecter des données propriétaires ou client à des fins commerciales ou opérationnelles et de répondre à des exigences stratégiques liées aux priorités nationales, ou de créer des accès et des vecteurs supplémentaires pour faciliter les futures campagnes. Le ciblage des organismes gouvernementaux suggère une intention secondaire potentielle de collecter des données géopolitiques qui pourrait être utile à la prise de décision au niveau des États.

Logiciel malveillant associé : le groupe exploite principalement les portes dérobées SEAWEED et CACHEMONEY ainsi qu'une variante spécifique de la porte dérobée POWBAT.

Vecteurs d'attaque : en vue d'une compromission initiale, Mandiant Intelligence a constaté qu'APT39 exploitait l'hameçonnage ciblé à l'aide de pièces jointes malveillantes et/ou de liens hypertextes générant généralement une infection POWBAT. Dans certains cas, des comptes de messagerie compromis ont également été exploités, ce qui est susceptible d'abuser des confiances inhérentes et d'augmenter les chances de réussite d'une attaque. APT39 enregistre et exploite fréquemment des domaines qui se font passer pour des services Web ou des organisations légitimes en rapport avec la cible. De plus, ce groupe a régulièrement identifié et exploité les serveurs Web vulnérables d'organisations ciblées pour installer des web shells tels qu'ANTAK et ASPXSPY. Il a également utilisé des identifiants légitimes volés pour compromettre des ressources OWA (Outlook Web Access) externes. Nous n'avons observé aucune faille d'exploitation d'APT39.

Autres ressources

APT 34

Suspicion d'attribution : Iran

Secteurs cibles : ce groupe a ciblé un grand nombre d'industries, notamment dans les secteurs de la finance, de l'administration, de l'énergie, de la chimie et des télécommunications, et a largement concentré ses opérations sur le Moyen-Orient.

Présentation : Nous pensons qu’APT34 est impliqué dans une opération de cyberespionnage de longue durée, essentiellement axée sur des opérations de reconnaissance visant à soutenir les intérêts de l’État iranien. Il est opérationnel depuis au moins 2014. Nous pensons qu'APT34 travaille pour le compte du gouvernement iranien sur la base des détails de l'infrastructure qui contiennent des références à l'Iran, de l'utilisation de l'infrastructure iranienne et du ciblage qui s'aligne sur les intérêts de l'État-nation.

Logiciels malveillants associés : POWBAT, POWRUNER, BONDUPDATER

Vecteurs d'attaque : dans sa dernière campagne, APT34 a exploité la vulnérabilité Microsoft Office CVE-2017-11882 pour déployer POWRUNER et BONDUPDATER.

Autres ressources

APT 33

Suspicion d'attribution : Iran

Secteurs cibles : aérospatiale, énergie

Présentation : APT33 a ciblé des entreprises de différents secteurs, dont le siège se trouve en Arabie saoudite, aux États-Unis et en Corée du Sud. APT33 a montré un intérêt particulier pour les organisations du secteur de l'aviation à la fois militaires et commerciales, ainsi que pour les organisations du secteur de l'énergie en lien avec la production pétrochimique.

Logiciels malveillants associés : SHAPESHIFT, DROPSHOT, TURNEDUP, NANOCORE, NETWIRE, ALFA Shell

Vecteurs d'attaque : APT33 a envoyé des e-mails d'hameçonnage ciblé à des employés travaillant dans le secteur de l'aviation. Ces e-mails contenaient des leurres sur le thème du recrutement et contenaient des liens vers des fichiers d'application HTML malveillante (.hta). Les fichiers .hta contenaient des descriptions de postes et des liens vers des offres d’emploi légitimes sur des sites d’emploi populaires et pertinents pour les personnes ciblées.

Autres ressources

APT 28

Autre nom : équipe Tsar

Suspicion d'attribution : gouvernement russe

Secteurs cibles : le Caucase, en particulier la Géorgie, les pays et les forces militaires d'Europe de l'Est, l'Organisation du Traité de l'Atlantique Nord (OTAN), ainsi que d'autres organisations de sécurité et entreprises de défense européennes

Présentation : APT28 est une équipe de développeurs et d'opérateurs compétents, chargée de collecter des renseignements sur les questions de défense et de géopolitique, qui ne seraient utiles qu'à un gouvernement. Ce groupe APT compile des échantillons de logiciels malveillants en langue russe pendant les heures de travail (de 8h à 18h), selon le fuseau horaire des principales villes russes, y compris Moscou et Saint-Pétersbourg. Cela suggère qu'APT28 reçoit directement des ressources financières et autres de la part d'une organisation bien établie, probablement le gouvernement russe.

Logiciels malveillants associés : CHOPSTICK, SOURFACE

Vecteurs d'attaque : les outils couramment utilisés par APT28 incluent le téléchargeur SOURFACE, sa deuxième porte dérobée EVILTOSS et une famille modulaire d'implants baptisés CHOPSTICK. APT28 a utilisé le chiffrement RSA pour protéger les fichiers et les informations volées déplacés du réseau de la victime vers le contrôleur. Depuis 2007, le groupe a également apporté des modifications progressives et systématiques au téléchargeur SOURFACE et à son écosystème environnant. Il s'agit d'un travail de développement dédié depuis longtemps.

Autres ressources

APT29

Suspicion d'attribution : Russie

Secteurs cibles : historiquement, les cibles ont inclus des gouvernements occidentaux, des organismes de politique étrangère et de décision, des sous-traitants gouvernementaux, des universités et possiblement des médias d'information internationaux.

Présentation : APT29 est un groupe de cyberespionnage soutenu par l'État, situé en Russie. Le groupe possède des capacités impressionnantes, y compris une gamme d'outils développés sur mesure, un vaste réseau de commandes et de contrôles (C2) qui inclut des infrastructures compromises et satellites (via des fournisseurs de services apparents), ainsi que des niveaux élevés de sécurité opérationnelle. Dans les enquêtes où APT29 était impliqué, nous avons constaté que le groupe était très au fait de la posture défensive de ses victimes et qu'il utilisait des méthodes pour échapper aux enquêteurs et aux tentatives de remédiation.

Logiciels malveillants associés : le groupe utilise plusieurs familles de logiciels malveillants, y compris, mais sans s'y limiter, BEACON, COZYCAR, DAVESHELL, GREEDYHEIR, HTRAN, REGEORG, SEADADDY et SUNBURST.

Vecteurs d'attaque : APT29 a souvent recours à l'hameçonnage ciblé pour accéder aux réseaux cibles, mais est capable d'exécuter des formes d'intrusion plus avancées, comme la compromission des chaînes d'approvisionnement. Alors que certains groupes malveillants envoient des messages d'hameçonnage ciblé très personnalisés, les e-mails de l'APT29 peuvent être très génériques. Une fois qu'il est implanté, le groupe installe généralement des logiciels malveillants pour créer une porte dérobée qui lui permettra de conserver l'accès au fil du temps.

Autres ressources 

Autres ressources

Autres ressources

Autres ressources

APT36

Suspicion d'attribution : Pakistan

Secteurs cibles : actif depuis au moins 2013, APT36 mène des campagnes d'intrusion qui reflètent un effort concerté visant à cibler l'Inde, rivale régionale, tout en montrant un intérêt pour les organisations militaires et intergouvernementales telles que l'Organisation du Traité de l'Atlantique Nord (OTAN) et les Nations unies (ONU) qui ont des intérêts dans la région. De plus, APT36 a ciblé plusieurs secteurs d'activité dans des pays en dehors de la région, y compris aux États-Unis.

Présentation : APT36 est un acteur du cyberespionnage de longue date qui collecte des renseignements pour soutenir les intérêts militaires et diplomatiques pakistanais.

Logiciels malveillants associés : le groupe utilise plusieurs familles de logiciels malveillants, y compris, mais sans s'y limiter, MOONDOOR, SEEPASS, BabylonRAT, SEEKEYS, BREACHRAT, SEEDRIVE, UPDATESEE, MOONRAT et SEEGAP.

Vecteurs d'attaque : APT36 a généralement recours à l'hameçonnage ciblé comme principale méthode de compromission initiale, en utilisant des pièces jointes malveillantes qui incluent des exécutables Microsoft Windows et des documents Microsoft Office (qui exploitent des macros et du code d'exploitation connus). Les leurres d'hameçonnage de cet acteur suivent généralement des thèmes militaires et politiques. Nous avons également constaté que ces acteurs exploitent une technique unique d'attaque de point d'eau qui utilise l'ingénierie sociale (plutôt que du code d'exploitation Web) pour inciter les victimes à télécharger et à ouvrir des documents Microsoft Office malveillants.

APT 35

Secteurs cibles : États-Unis, Europe occidentale et Moyen-Orient, personnel militaire, diplomatique et gouvernemental, organisations des médias, de l'énergie et de la base industrielle de la défense, ingénierie, services aux entreprises et télécommunications.

Présentation : APT35 (ou équipe Newscaster) est une équipe de cyberespionnage soutenue par le gouvernement iranien. Elle mène des opérations à long terme et gourmandes en ressources en vue de collecter des renseignements stratégiques. Mandiant Threat Intelligence a observé des opérations d’APT35 remontant à 2014. Par le passé, APT35 s'est appuyé sur des outils peu sophistiqués, tels que des webshells publics et des outils de tests d'intrusion, ce qui suggère une capacité de développement relativement récente. Toutefois, l'ampleur et la portée des opérations d'APT35, notamment en ce qui concerne ses efforts d'ingénierie sociale complexes, indiquent sans doute que le groupe dispose de ressources suffisantes dans d'autres domaines.

Logiciels malveillants associés : ASPXSHELLSV, BROKEYOLK, PUPYRAT, TUNNA, MANGOPUNCH, DRUBOT, HOUSEBLEND

Vecteurs d'attaque : APT35 s'appuie généralement sur l'hameçonnage ciblé pour commencer à compromettre une organisation, généralement à l'aide de leurres liées à la santé, aux offres d'emploi, aux CV ou aux politiques de mots de passe. Cependant, nous avons également observé que le groupe utilise des comptes compromis avec des informations d'identification récoltées lors d'opérations antérieures, des compromissions Web stratégiques et des attaques par pulvérisation de mot de passe contre des applications Web tournées vers l'extérieur comme techniques supplémentaires pour obtenir un accès initial.

APT 32

Autre nom : OceanLotus Group

Suspicion d'attribution : Vietnam

Secteurs cibles : entreprises étrangères qui investissent dans les secteurs de la fabrication, des produits grand public, du conseil et de l'hôtellerie au Vietnam

Présentation : les récentes activités ciblant des intérêts privés au Vietnam suggèrent qu’APT32 représente une menace pour les entreprises qui travaillent, fabriquent ou se préparent à investir dans le pays. Bien que les motivations spécifiques de cette activité restent floues, elle pourrait à terme éroder l'avantage concurrentiel des organisations ciblées.

Logiciels malveillants associés : SoundBITE, WINDSHIELD, PHOREAL, BEACON, KOMPROGO

Vecteurs d'attaque : les groupes APT32 exploitent des fichiers ActiveMime qui emploient des méthodes d'ingénierie sociale pour inciter les victimes à activer les macros. Lors de l'exécution, le fichier initialisé télécharge généralement plusieurs charges utiles malveillantes depuis un serveur distant. Les acteurs d'APT32 délivrent les pièces jointes malveillantes via des e-mails d'hameçonnage ciblé. Il a été prouvé que certains messages ont peut-être été envoyés via Gmail.

APT 1

Autre nom : Unit 61398, Comment Crew

Suspicion d'attribution : le 3e Département (总参三部二局) de l'État-Major Général de l'Armée populaire de libération de Chine, plus connu sous son désignateur de couverture d'unité militaire comme l'Unité 61398 (61398部队).

Secteurs cibles : technologies de l'information, aérospatiale, administration publique, satellites et télécommunications, recherche scientifique et conseil, énergie, transport, construction et fabrication, services d'ingénierie, électronique de haute technologie, organisations internationales, services juridiques, médias, publicité et divertissement, navigation, produits chimiques, services financiers, alimentation et agriculture, santé, métaux et exploitation minière, enseignement

Présentation : APT1 a systématiquement volé des centaines de téraoctets de données à au moins 141 organisations, et a démontré sa capacité et son intention de voler des dizaines d'organisations simultanément. Le groupe s’efforce de mettre en danger les organisations dans de nombreux secteurs d’activité dans les pays anglophones. La taille de l’infrastructure d’APT1 implique une grande organisation comptant au moins des dizaines, voire des centaines d’opérateurs humains.

Logiciel malveillant associé : TROJAN.ECLTYS, BACKDOOR.BARKIOFORK, BACKDOOR.WAKEMINAP, TROJAN.DOWNBOT, BACKDOOR.DALBOT, BACKDOOR.REVIRD, TROJAN.BADNAME, BACKDOOR.WUALESS

Vecteurs d'attaque : la méthode de compromission initiale la plus couramment observée est l'hameçonnage ciblé. Les e-mails d'hameçonnage ciblé contiennent une pièce jointe malveillante ou un lien hypertexte vers un fichier malveillant. L'objet et le texte dans le corps de l'e-mail sont généralement pertinents pour le destinataire. APT1 crée également des comptes de messagerie Web en utilisant les noms de personnes réelles. Si les intrus d’APT1 utilisent occasionnellement des portes dérobées publiques telles que Poison Ivy et Gh0st RAT, la grande majorité du temps, ils utilisent des portes dérobées qui semblent être leurs propres portes dérobées personnalisées. Tout au long de leur présence sur le réseau (qui peut durer plusieurs années), APT1 installe généralement de nouvelles portes dérobées au fur et à mesure qu'il prend le contrôle de nouveaux systèmes dans l’environnement. Ainsi, si une porte dérobée est découverte et supprimée, ils peuvent toujours utiliser d’autres portes dérobées. Lorsque le groupe APT1 est présent depuis plus de quelques semaines, nous détectons généralement plusieurs familles de portes dérobées APT1 disséminées sur le réseau de ses victimes.