Minacce persistenti avanzate (APT)

APT41

Presunta attribuzione: Cina

Settori target: APT41 ha preso di mira direttamente organizzazioni in almeno 14 paesi fin dal 2012. Le campagne di spionaggio del gruppo hanno preso di mira il settore sanitario, le telecomunicazioni e il settore di alta tecnologia e hanno tradizionalmente incluso il furto di proprietà intellettuale. Le loro intrusioni di crimine informatico sono evidenti tra gli obiettivi del settore dei videogiochi, tra cui la manipolazione di valute virtuali e il tentativo di deployment di ransomware. Le operazioni di APT41 contro istruzione superiore, servizi di viaggio e società di notizie/media forniscono alcune indicazioni che suggeriscono che il gruppo monitora anche gli individui e conduce sorveglianza.

Panoramica: APT41 è un prolifico gruppo di cyber minaccia che svolge attività di spionaggio sponsorizzate dallo stato cinese, oltre ad attività a sfondo finanziario potenzialmente al di fuori del controllo statale.

Malware associati: è stato osservato che APT41 utilizza almeno 46 famiglie di codici e strumenti diversi.

Vettori d'attacco: APT41 si affida spesso a email di spear phishing con allegati come file HTML compilati (.chm) per compromettere le sue vittime. Una volta all'interno dell'organizzazione vittima, APT41 può sfruttare TTP più sofisticati e eseguire il deployment di malware aggiuntivo. Ad esempio, in una campagna durata quasi un anno, APT41 ha compromesso centinaia di sistemi e utilizzato quasi 150 pezzi unici di malware tra cui backdoor, programmi di intercettazione delle credenziali, keylogger e rootkit. APT41 ha anche implementato rootkit e bootkit di master boot record (MBR) su base limitata per nascondere il proprio malware e mantenere la persistenza su determinati sistemi delle vittime.

Risorse aggiuntive

APT40

Presunta attribuzione: Cina

Settori target: APT40 è un gruppo di spionaggio informatico cinese che tipicamente prende di mira paesi strategicamente importanti nell'ambito della Belt and Road Initiative. Sebbene il gruppo abbia come obiettivo le organizzazioni globali, in particolare quelle focalizzate sull'ingegneria e sulla difesa, storicamente il gruppo ha anche condotto campagne contro entità regionali in aree come il Sud-est asiatico. Almeno da gennaio 2013, il gruppo ha condotto campagne contro una serie di verticali, tra cui obiettivi marittimi, difesa, aviazione, chimica, ricerca/istruzione, organizzazioni governative e tecnologiche.

Panoramica: Mandiant Intelligence ritiene che le operazioni di APT40 siano una controparte informatica agli sforzi della Cina di modernizzare le sue capacità navali; ciò si manifesta anche nel puntare a progetti di ricerca su larga scala presso le università e nell'ottenimento di progetti per attrezzature e veicoli marittimi. Le operazioni del gruppo tendono ad avere come obiettivo i progetti sponsorizzati dai governi e ad acquisire grandi quantità di informazioni specifiche di questi progetti, tra cui proposte, riunioni, dati finanziari, informazioni di spedizione, piani, disegni e dati non elaborati.

Malware associati: è stato osservato che APT40 utilizza almeno 51 famiglie di codici diverse. Di questi, 37 non sono pubblici. Almeno 7 di questi strumenti non pubblici (BADSIGN, FIELDGOAL, FINDLOCK, PHOTO, SCANBOX, SOGU e WIDETONE) sono condivisi con altri sospetti operatori con un legame con la Cina.

Vettori d'attacco: APT40 solitamente si pone come un individuo di rilievo che probabilmente è di interesse per un obiettivo per l'invio di email di spear phishing. Questo include fingere di essere un giornalista, un privato di una pubblicazione commerciale o qualcuno proveniente da un'organizzazione militare o un'organizzazione non governativa (ONG) pertinente. In alcuni casi, il gruppo ha sfruttato indirizzi email precedentemente compromessi per inviare email di spear phishing.

Risorse aggiuntive

APT31

Presunta attribuzione: Cina

Settori target: vari settori, tra cui governi, organizzazioni finanziarie internazionali, aerospaziali e di difesa, nonché alta tecnologia, edilizia e ingegneria, telecomunicazioni, media e assicurazioni.

Panoramica: APT31 è un attore malintenzionato di spionaggio informatico legato alla Cina, concentrato sull'ottenimento di informazioni in grado di fornire al governo cinese e alle imprese statali vantaggi politici, economici e militari.

Malware associati: SOGU, LUCKYBIRD, SLOWGYRO, DUCKFAT

Vettori d'attacco: APT31 ha sfruttato le vulnerabilità in applicazioni come Java e Adobe Flash per compromettere gli ambienti delle vittime.

APT30

Presunta attribuzione: Cina

Settori target: membri dell'Associazione delle Nazioni del Sud Est Asiatico (ASEAN)

Panoramica: APT30 è noto non solo per l'attività sostenuta per un lungo periodo di tempo, ma anche per la modifica e l'adattamento con successo del codice sorgente per mantenere gli stessi strumenti, tattiche e infrastrutture almeno dal 2005. Le prove mostrano che il gruppo dà priorità agli obiettivi, molto probabilmente lavora in turni in un ambiente collaborativo e crea malware partendo da un piano di sviluppo coerente. Il gruppo ha avuto la capacità di infettare le reti con air-gap dal 2005.

Malware associati: SHIPSHAPE, SPACESHIP, FLASHFLOOD

Vettori d'attacco: APT30 utilizza una suite di strumenti che includono downloader, backdoor, un controller centrale e diversi componenti progettati per infettare le unità rimovibili e le reti con cross-air gap per rubare dati. APT30 registra spesso i propri domini DNS per le attività CnC malware.

APT27

Presunta attribuzione: Cina

Settori target: APT27 ha preso di mira diverse organizzazioni con sede centrale in tutto il mondo, tra cui Nord e Sud America, Europa e Medio Oriente. Queste organizzazioni rientrano in una gamma di settori diversi, tra cui servizi alle aziende, alta tecnologia, governo ed energia; tuttavia, un numero considerevole è costituito da settori aerospaziale, dei trasporti o dei viaggi.

Panoramica: APT27 si impegna in operazioni informatiche dove l'obiettivo è il furto di proprietà intellettuale, concentrandosi di solito sui dati e sui progetti che rendono una particolare organizzazione competitiva nel suo settore.

Malware associati: PANDORA, SOGU, ZXSHELL, GHOST, WIDEBERTH, QUICKPULSE, FLOWERPOT

Vettori d'attacco: APT27 utilizza spesso lo spear phishing come metodo di compromissione iniziale. Gli attori di minaccia di APT27 non sono noti perl'utilizzo di exploit zero-day originali, ma potrebbero sfruttarli una volta resi pubblici. In almeno un caso, gli attori malintenzionati di APT27 hanno utilizzato un account compromesso presso un'organizzazione vittima per inviare un'email di spear phishing ad altre vittime previste nei settori simili. Inoltre, APT27 potrebbe compromettere le applicazioni web vulnerabili per ottenere un punto d'appoggio iniziale.

APT26

Presunta attribuzione: Cina

Settori target: aerospaziale, settori della difesa ed energetico, tra gli altri

Panoramica: APT26 si impegna in operazioni informatiche dove l'obiettivo è il furto di proprietà intellettuale, concentrandosi di solito sui dati e sui progetti che rendono una particolare organizzazione competitiva nel suo settore.

Malware associati: SOGU, HTRAN, POSTSIZE, TWOCHAINS, BEACON

Vettori d'attacco: il gruppo utilizza spesso compromissioni strategiche del web per ottenere l'accesso a reti target e backdoor personalizzate una volta che si trovano all'interno dell'ambiente di una vittima.

APT25

Noto anche come: Uncool, Vixen Panda, Ke3chang, Sushi Roll, Tor

Presunta attribuzione: Cina

Settori target: base industriale della difesa, settori dei media, dei servizi finanziari e dei trasporti negli Stati Uniti e in Europa.

Panoramica: APT25 si occupa di operazioni informatiche il cui obiettivo è il furto di dati.

Malware associati: LINGBO, PLAYWORK, MADWOFL, MIRAGE, TOUGHROW, TOYSNAKE, SABERTOOTH

Vettori d'attacco: APT25 ha sempre utilizzato lo spear phishing nelle proprie operazioni, inclusi messaggi contenenti allegati dannosi e link ipertestuali dannosi. Gli aggressori di minaccia di APT25 tipicamente non utilizzano exploit zero-day, ma potrebbero sfruttarli una volta resi pubblici.

APT24

Noto anche come: PittyTiger

Presunta attribuzione: Cina

Settori target: APT24 ha preso di mira un'ampia varietà di settori, tra cui organizzazioni del governo, della sanità, dell'edilizia e dell'ingegneria, dell'estrazione mineraria, del non profit e delle telecomunicazioni.

Panoramica: è noto che questo gruppo ha preso di mira organizzazioni con sede in paesi che includono Stati Uniti e Taiwan. APT24 ha sempre utilizzato l’utilità di archiviazione RAR per criptare e comprimere i dati rubati prima di trasferirli fuori dalla rete. Il furto di dati esfiltrato da questo aggressore si è concentrato principalmente su documenti con rilevanza politica, il che suggerisce che il suo intento è quello di monitorare le posizioni di vari stati su questioni applicabili alla controversia territoriale o di sovranità in corso in Cina.

Malware associati: PITTYTIGER, ENFAL, TAIDOOR

Vettori d'attacco: APT24 ha utilizzato email di phishing che utilizzano temi militari, di energia rinnovabile o di strategia aziendale come esche. Inoltre APT24 si impegna in operazioni informatiche dove l'obiettivo è il furto di proprietà intellettuale, concentrandosi di solito sui dati e sui progetti che rendono una particolare organizzazione competitiva nel suo settore.

APT23

Presunta attribuzione: Cina

Settori target: media e governo negli Stati Uniti e nelle Filippine

Panoramica: APT23 ha rubato informazioni con significato politico e militare, piuttosto che proprietà intellettuale. Ciò suggerisce che APT23 potrebbe effettuare il furto di dati a supporto di operazioni di spionaggio più tradizionali.

Malware associato: NONGMIN

Vettori d'attacco: APT23 ha utilizzato messaggi di spear phishing per compromettere le reti delle vittime, includendo esche di phishing legate all'istruzione. Non è noto che gli aggressori di APT23 utilizzino exploit zero-day, ma questo gruppo ha sfruttato questi exploit una volta che sono stati resi pubblici.

APT22

Noto anche come: Barista

Presunta attribuzione: Cina

Settori target: un ampio gruppo di entità politiche, militari ed economiche in Asia orientale, Europa e Stati Uniti

Panoramica: riteniamo che APT22 abbia un nesso con la Cina e sia operativo almeno dall'inizio del 2014, svolgendo intrusioni e attività di attacco contro entità del settore pubblico e privato, inclusi i dissidenti.

Malware associati: PISCES, SOGU, FLATNOTE, ANGRYBELL, BASELESS, SEAWOLF, LOGJAM

Vettori d'attacco: gli attori malintenzionati di APT22 hanno utilizzato compromissioni strategiche del web per sfruttare passivamente obiettivi di interesse. Gli attori malintenzionati di APT22 hanno anche identificato server web vulnerabili rivolti al pubblico sulle reti delle vittime e caricato webshell per ottenere l'accesso alla rete della vittima.

APT21

Noto anche come: Zhenbao

Presunta attribuzione: Cina

Settori target: governo

Panoramica: APT21 sfrutta allegati strategici in lingua russa il cui tema sono problemi di sicurezza nazionale nei documenti esca. Storicamente, i contenuti di ingegneria sociale indicano un'operazione di spionaggio informatico che tenta di ottenere l'accesso non autorizzato a informazioni riservate sulla sicurezza dello stato in Russia. Un'analisi delle tecniche di APT21 suggerisce che un'altra area di interesse dei loro gruppi sono i gruppi dissidenti che cercano una maggiore autonomia o indipendenza dalla Cina, come quelli dal Tibet o dallo Xinjiang.

Malware associati: SOGU, TEMPFUN, Gh0st, TRAVELNET, HOMEUNIX, ZEROTWO

Vettori d'attacco: APT21 sfrutta messaggi email di spear phishing con allegati dannosi, link a file dannosi o pagine web. Ha anche usato compromissioni strategiche del web (SWC) per prendere di mira potenziali vittime. APT21 usa spesso due backdoor note come TRAVELNET e TEMPFUN. Significativamente, APT21 utilizza in generale principalmente backdoor personalizzate, usando raramente strumenti disponibili pubblicamente.

APT20

Nota anche come: Twivy

Presunta attribuzione: Cina

Settori target: costruzioni e ingegneria, sanità, organizzazioni non profit, base industriale di difesa e società di ricerca e produzione chimica.

Panoramica: APT20 si occupa di operazioni informatiche il cui obiettivo è il furto di dati. APT20 conduce furti di proprietà intellettuale, ma sembra anche interessato a rubare dati o monitorare le attività di individui con particolari interessi politici. Sulla base dei dati disponibili, riteniamo che questo sia un gruppo di freelance con una sponsorizzazione di uno stato situato in Cina.

Malware associati: QIAC, SOGU, Gh0st, ZXSHELL, Poison Ivy, BEACON, HOMEUNIX, STEW

Vettori d'attacco: l'uso di compromissioni strategiche del web da parte di APT20 fornisce informazioni su una seconda serie di probabili bersagli. Molte delle SWC di APT20 sono state ospitate su siti web (compresi i siti web in lingua cinese) che si occupano di questioni come democrazia, diritti umani, libertà di stampa, minoranze etniche in Cina e altre questioni.

APT19

Anche noto come: Codoso Team

Presunta attribuzione: Cina

Settori target: legale e investimenti

Panoramica: un gruppo probabilmente composto da freelance, con un certo grado di sponsorizzazione da parte del governo cinese.

Malware associati: BEACON, COBALTSTRIKE

Vettori d'attacco: nel 2017, APT19 ha utilizzato tre diverse tecniche per tentare di compromettere gli obiettivi. All'inizio di maggio, le esche di phishing hanno sfruttato gli allegati RTF che usavano la vulnerabilità Microsoft Windows descritta in CVE 2017-0199. Verso la fine di maggio, APT19 è passato all'utilizzo di documenti Microsoft Excel (XLSM) con macro attivate. Nelle versioni più recenti, APT19 ha aggiunto ai documenti XLSM un bypass all'elenco delle applicazioni attendibili. Almeno un'esca di phishing osservata ha consegnato un payload Cobalt Strike.

APT18

Anche noto come: Wekby

Presunta attribuzione: Cina

Settori target: aerospaziale e difesa, edilizia e ingegneria, istruzione, sanità e biotecnologia, alta tecnologia, telecomunicazioni, trasporti

Panoramica: sono state rilasciate poche informazioni su questo gruppo pubblicamente.

Malware associato: Gh0st RAT

Vettori d'attacco: exploit zero-day sviluppati o adattati frequentemente per operazioni, che erano probabilmente pianificate in anticipo. Ha utilizzato i dati della fuga di notizie del team di hacking, che ha dimostrato come il gruppo può spostare le risorse (ad esempio, selezionare i bersagli, preparare l'infrastruttura, creare messaggi, aggiornare gli strumenti) per sfruttare opportunità inaspettate come i nuovi exploit esposti.

Risorse aggiuntive: blog - Demonstrating Hustle, Chinese APT Groups Quickly Use Zero-Day Vulnerability (CVE-2015-5119) Following Hacking Team Leak

APT17

Anche noto come: Tailgator Team, Deputy Dog

Presunta attribuzione: Cina

Settori target: studi legali governativi e internazionali degli Stati Uniti e società di tecnologia dell'informazione

Panoramica: conduce intrusioni nella rete contro le organizzazioni prese di mira.

Malware associato: BLACKCOFFEE

Vettori d'attacco: il gruppo di minaccia ha sfruttato la capacità di creare profili e post nei forum per incorporare CnC codificati per l'uso con una variante del malware usato. Questa tecnica può rendere difficile per i professionisti della sicurezza di rete determinare la vera posizione di CnC e consentire all'infrastruttura CnC di rimanere attiva per un periodo più lungo.

APT16

Presunta attribuzione: Cina

Settori target: organizzazioni giapponesi e taiwanesi nei settori dell'alta tecnologia, dei servizi governativi, dei media e dei servizi finanziari

Panoramica: gruppo con sede in Cina che si occupa di questioni politiche e giornalistiche a Taiwan.

Malware associati: IRONHALO, ELMER

Vettori d'attacco: email di spear phishing inviate a organizzazioni di media taiwanesi e indirizzi webmail. I documenti esca contenevano istruzioni per la registrazione e la successiva pubblicazione degli articoli su un sito web di aste taiwanesi.

APT15

Presunta attribuzione: Cina

Settori target: obiettivi globali nel settore commerciale, economico e finanziario, energetico e militare a sostegno degli interessi del governo cinese.

Panoramica: APT15 ha preso di mira organizzazioni con sede centrale in diverse località, tra cui numerosi paesi europei, Stati Uniti e Sudafrica. Gli operatori di APT15 condividono risorse, tra cui backdoor e infrastrutture, con altri APT cinesi.

Malware associati: ENFAL, BALDEAGLE, NOISEMAKER, MIRAGE

Vettori d'attacco: APT15 in genere utilizza email di spear phishing ben sviluppate per la compromissione iniziale contro obiettivi globali in vari settori di interesse per il governo cinese. Significativamente, APT15 utilizza backdoor e infrastrutture che non sono uniche per il gruppo, rendendo l'attribuzione difficoltosa.

APT14

Presunta attribuzione: Cina

Settori target: governo, telecomunicazioni, costruzioni e ingegneria

Panoramica: APT14 si occupa di operazioni informatiche dove l'obiettivo è il furto di dati, con una possibile attenzione su attrezzature, operazioni e norme militari e marittime. Riteniamo che i dati rubati, in particolare le specifiche delle apparecchiature di crittografia e di comunicazione satellitare, potrebbero essere utilizzati per migliorare le operazioni militari, come l'intercettazione dei segnali o interferire in altro modo con le reti di comunicazione satellitare militari.

Malware associati: Gh0st, POISONIVY, CLUBSEAT, GROOVY

Vettori d'attacco: gli attori di minaccia di APT14 non tendono a utilizzare exploit zero-day, ma potrebbero sfruttarli una volta resi pubblici. Potrebbero sfruttare uno strumento di posta SMTP personalizzato per l'invio dei messaggi di spear phishing. I messaggi di phishing di APT14 sono spesso creati per sembrare provenire da organizzazioni attendibili.

APT12

Anche noto come: Calc Team

Presunta attribuzione: Cina

Settori target: giornalisti, governo, base industriale della difesa

Panoramica: si ritiene che APT12 sia un gruppo di spionaggio informatico che si pensa abbia legami con l'Esercito Popolare Cinese di Liberazione. Gli obiettivi di APT12 sono coerenti con gli obiettivi più ampi della Repubblica Popolare Cinese (RPC). Le intrusioni e le campagne condotte da questo gruppo sono in linea con gli obiettivi della RPC e con l'interesse personale a Taiwan.

Malware associati: RIPTIDE, HIGHTIDE, THREBYTE, WATERSPOUT

Vettori d'attacco: Mandiant ha osservato APT12 consegnare questi documenti di exploit tramite email di phishing da account validi, ma compromessi. Sulla base delle attività passate di APT12, ci aspettiamo che il gruppo di minaccia continui a utilizzare il phishing come metodo di distribuzione del malware.

Risorse aggiuntive

APT10

Anche noto come: Menupass Team

Presunta attribuzione: Cina

Settori target: costruzioni e ingegneria, aziende aerospaziali e di telecomunicazioni e governi negli Stati Uniti, in Europa e in Giappone.

Panoramica: APT10 è un gruppo di spionaggio informatico cinese che Mandiant monitora dal 2009. Storicamente ha preso di mira le aziende di edilizia e ingegneria, aerospaziale e telecomunicazioni, nonché governi negli Stati Uniti, in Europa e in Giappone. Riteniamo che prendere di mira questi settori supporti gli obiettivi della sicurezza nazionale cinese, tra cui l'acquisizione di preziose informazioni militari e di intelligence e il furto di dati aziendali riservati a sostegno delle aziende cinesi.

Malware associati: HAYMAKER, SNUGRIDE, BUGJUICE, QUASARRAT

Vettori d'attacco: questa recente attività dell'APT10 ha incluso sia lo spear phishing tradizionale sia l'accesso alle reti delle vittime tramite fornitori di servizi gestiti. Per maggiori informazioni sull'infezione tramite fornitori di servizi, vedi M-Trends 2016. Gli attacchi di spear phishing di APT10 erano relativamente poco sofisticati, sfruttando file .lnk all'interno degli archivi, file con doppia estensione (per esempio, [Redacted]_Group_Meeting_Document_20170222_doc_.exe) e, in alcuni casi, semplicemente documenti ingannevoli con nomi identici e launcher dannosi all'interno dello stesso archivio. Oltre allo spear phishing, Mandiant Threat Intelligence ha osservato che APT10 accede alle vittime tramite fornitori di servizi globali.

Risorse aggiuntive

Risorse aggiuntive

APT9

Attribuzione presunta: sulla base dei dati disponibili, riteniamo che si tratti di un gruppo di freelance con una sponsorizzazione a opera di uno stato, probabilmente la Cina.

Settori target: organizzazioni con sede centrale in più paesi e in settori quali sanità e farmaceutica, edilizia e ingegneria, aerospaziale e difesa.

Panoramica: APT9 si occupa di operazioni informatiche il cui obiettivo è il furto di dati, concentrandosi di solito sui dati e sui progetti che rendono un'organizzazione particolare competitiva nel suo campo.

Malware associati: SOGU, HOMEUNIX, PHOTO, FUNRUN, Gh0st, ZXSHEL

Vettori d'attacco: APT9 è stata storicamente molto attiva nell'industria farmaceutica e della biotecnologia. Abbiamo notato che l'attore malintenzionato utilizza spear phishing, account validi e servizi remoti per l'accesso iniziale. In almeno un'occasione, Mandiant ha osservato APT9 presso due aziende del settore della biotecnologia e sospetta che gli attori malintenzionati di APT9 possano aver ottenuto l'accesso iniziale a una delle aziende utilizzando un rapporto di fiducia tra le due aziende. APT9 utilizza una vasta gamma di backdoor, incluse quelle disponibili pubblicamente, nonché backdoor che si ritiene siano personalizzate, ma utilizzate da più gruppi APT.

APT 8

Presunta attribuzione: Cina

Settori target: una vasta gamma di settori, tra cui media e intrattenimento, edilizia e ingegneria, aerospaziale e difesa.

Panoramica: APT8 si occupa di operazioni informatiche il cui obiettivo è il furto di proprietà intellettuale, concentrandosi di solito sui dati e sui progetti che rendono un'organizzazione competitiva nel suo campo. Riteniamo che questo sia un gruppo di freelance con sede in Cina e sponsorizzazione di uno stato. APT8 ha preso di mira organizzazioni con sede in diversi paesi, tra cui Stati Uniti, Germania, Regno Unito, India e Giappone.

Malware associati: HASH, FLYZAP, GOLFPRO, SAFEPUTT

Vettori d'attacco: gli attori malintenzionati di APT8 spesso utilizzano email di spear phishing con allegati o link dannosi oppure sfruttano server web vulnerabili con server web rivolti a internet per compromettere le organizzazioni prese di mira. Inoltre, in più intrusioni, gli attori malintenzionati di APT8 hanno inviato link dannosi alle potenziali vittime tramite chat o programmi di messaggistica immediata.

APT 7

Presunta attribuzione: Cina

Settori target: base industriale dell'edilizia, dell'ingegneria, aerospaziale e della difesa

Panoramica: APT7 si occupa di operazioni informatiche il cui obiettivo è il furto di proprietà intellettuale, concentrandosi di solito sui dati e sui progetti che rendono un'organizzazione competitiva nel suo campo. È noto che questo gruppo ha preso di mira organizzazioni con sede negli Stati Uniti e nel Regno Unito.

Malware associati: DIGDUG, TRACKS

Vettori d'attacco: gli attori malintenzionati di APT7 hanno utilizzato l'accesso a un'organizzazione per infiltrarsi in un'altra sotto la stessa società madre. Si tratta di una forma di movimento laterale, ma in questo caso è stato anche il metodo di compromissione iniziale per la seconda organizzazione.

APT6

Presunta attribuzione: Cina

Settori target: trasporti, auto e motori, edilizia e ingegneria, telecomunicazioni, elettronica, edilizia e materiali

Panoramica: APT6 si occupa di operazioni informatiche il cui obiettivo è il furto di dati, più probabilmente dati e progetti che rendono un'organizzazione competitiva nel suo campo. APT6 ha preso di mira le organizzazioni con sede negli Stati Uniti e nel Regno Unito.

Malware associati: BELUGA, EXCHAIN, PUPTENT

Vettori d'attacco: APT6 utilizza diverse backdoor personalizzate, incluse alcune utilizzate da altri gruppi APT e quelle uniche del gruppo.

APT 5

Presunta attribuzione: Cina

Settori target: fornitori di telecomunicazioni regionali, dipendenti in Asia di aziende tecnologiche e di telecomunicazioni globali, produzione di alta tecnologia e tecnologie per le applicazioni militari negli Stati Uniti, in Europa e in Asia.

Panoramica: APT5 è attivo almeno dal 2007. APT5 ha preso di mira o violato organizzazioni di diversi settori, ma la sua attenzione sembra concentrarsi sulle società di telecomunicazioni e tecnologiche, in particolare sulle informazioni sulle comunicazioni satellitari. Già nel 2014, Mandiant Incident Response ha scoperto che APT5 apportava modifiche non autorizzate al codice dei file nel sistema operativo incorporato di un'altra piattaforma tecnologica. Nel 2015, APT5 ha compromesso un'organizzazione di telecomunicazioni statunitense che fornisce servizi e tecnologie per enti privati e governativi. Durante l’intrusione, gli attori malintenzionati hanno scaricato e modificato alcune immagini del router relative ai router di rete aziendali. Inoltre, durante questo periodo, l'APT5 ha rubato file relativi alla tecnologia militare da un'organizzazione di difesa dell'Asia meridionale. I nomi file osservati suggeriscono che gli attori malintenzionati erano interessati alle specifiche dei prodotti, alle email relative ai prodotti tecnici, alle offerte e alle proposte di approvvigionamento e ai documenti sui veicoli aerei senza equipaggio (UAV).

Malware associati: BRIGHTCREST, SWEETCOLA, SPIRITBOX, PALEJAB, WIDERIM, WINVAULT, HAPPYSAD, BIRDWORLD, FARCRY, CYFREE, FULLSILO, HELLOTHEWORLD, HAZELNUT, GIF89A, SCREENBIND, SHINYFUR, TRUCKBED, LEOUNCIA, FREESWIM, PULLTAB, HIREDHELP, NEDDYHORSE, PITCHFORK, BRIGHTCOMB, ENCORE, TABCTENG, SHORTLEASH, CLEANACT, BRIGHTCYAN, DANCEPARTY, HALFBACK, PUSHBACK, COOLWHIP, LOWBID, TIGHTROPE, DIRTYWORD, AURIGA, KEYFANG, Poison Ivy

Vettori d'attacco: sembra essere un grande gruppo di minacce composto da diversi sottogruppi, spesso con tattiche e infrastrutture distinte. Il gruppo utilizza il malware con capacità di keylogging per colpire specificamente le reti aziendali, dipendenti e dirigenti di aziende di telecomunicazioni. APT5 ha mostrato un interesse significativo nella compromissione dei dispositivi di networking e nella manipolazione del software sottostante che supporta queste appliance.

APT 4

Noto anche come: Maverick Panda, Sykipot Group, Wisp

Presunta attribuzione: Cina

Settori target: aerospaziale e difesa, ingegneria industriale, elettronica, auto e motori, pubblica amministrazione, telecomunicazioni e trasporti

Panoramica: APT4 sembra prendere di mira la base industriale della difesa (DIB) con un tasso di frequenza più elevato rispetto ad altre organizzazioni commerciali. Tuttavia, la storia delle intrusioni mirate di APT4 ha un'ampia portata.

Malware associati: GETKYS, LIFESAVER, CCHIP, SHYLILT, SWEETTOOTH, PHOTO, SOGO

Vettori d'attacco: gli attori malintenzionati di APT4 spesso sfruttano messaggi di spear phishing utilizzando temi basati sul governo, sul Dipartimento della difesa o sulla difesa industriale degli Stati Uniti. Gli attori malintenzionati di APT4 potrebbero riproporre contenuti validi provenienti da siti web del governo o del Dipartimento della difesa degli Stati Uniti all'interno dei propri corpi di messaggi per conferire loro legittimità.

APT 3

Anche noto come: UPS Team

Presunta attribuzione: Cina

Settori target: aerospaziale e della difesa, edilizia e ingegneria, alta tecnologia, telecomunicazioni, trasporti

Panoramica: il gruppo di minaccia con sede in Cina che Mandiant identifica come APT3 è uno dei gruppi di minaccia più sofisticati tracciati da Mandiant Threat Intelligence e ha una storia di utilizzo di exploit basati su browser come zero-day (ad esempio, Internet Explorer, Firefox e Adobe Flash Player). Dopo aver sfruttato con successo un host di destinazione, questo gruppo eseguirà rapidamente il dump delle credenziali, si sposterà lateralmente verso host aggiuntivi e installerà backdoor personalizzate. L'infrastruttura di comando e controllo (CnC) di APT3 è difficile da tracciare, poiché la sovrapposizione tra le campagne è minima.

Malware associati: SHOTPUT, COOKIECUTTER, SOGU

Vettori d'attacco: le email di phishing utilizzate da APT3 sono solitamente di natura generica e quasi sembrano essere spam. Gli attacchi hanno sfruttato una vulnerabilità priva di patch nelle modalità di analisi dei file Flash Video (FLV) da parte di Adobe Flash Player. L'exploit utilizza comuni tecniche di corruzione vettoriale per bypassare la randomizzazione ASLR (Address Space Layout Randomization) e utilizza la programmazione orientata al ritorno (ROP) per bypassare la prevenzione dell'esecuzione dei dati (DEP). Un trucco intelligente alla loro tecnica ROP semplifica l'exploit ed eluderà alcune tecniche di rilevamento ROP. Lo shellcode viene archiviato nel file exploit di Adobe Flash Player compresso insieme a una chiave utilizzata per la decrittografia. Il payload è codificato xor e nascosto all'interno di un'immagine.

Risorse aggiuntive

Risorse aggiuntive

APT 2

Presunta attribuzione: Cina

Settori target: militare e aerospaziale

Panoramica: questo gruppo è stato osservato per la prima volta nel 2010. APT2 si occupa di operazioni informatiche il cui obiettivo è il furto di proprietà intellettuale, concentrandosi di solito sui dati e sui progetti che rendono un'organizzazione competitiva nel suo campo.

Malware associati: MOOSE, WARP

Vettori d'attacco: email di spear phishing che sfruttano CVE-2012-0158.

APT 30

Presunta attribuzione: Cina

Settori target: membri dell'Associazione delle Nazioni del Sud Est Asiatico (ASEAN)

Panoramica: APT30 è noto non solo per l'attività sostenuta per un lungo periodo di tempo, ma anche per la modifica e l'adattamento con successo del codice sorgente per mantenere gli stessi strumenti, tattiche e infrastrutture almeno dal 2005. Le prove mostrano che il gruppo dà priorità agli obiettivi, molto probabilmente lavora in turni in un ambiente collaborativo e crea malware partendo da un piano di sviluppo coerente. Il gruppo ha avuto la capacità di infettare le reti con air-gap dal 2005.

Malware associati: SHIPSHAPE, SPACESHIP, FLASHFLOOD

Vettori d'attacco: APT30 utilizza una suite di strumenti che includono downloader, backdoor, un controller centrale e diversi componenti progettati per infettare le unità rimovibili e le reti con cross-air gap per rubare dati. APT30 registra spesso i propri domini DNS per le attività CnC malware.

APT 27

Presunta attribuzione: Cina

Settori target: APT27 ha preso di mira diverse organizzazioni con sede centrale in tutto il mondo, tra cui Nord e Sud America, Europa e Medio Oriente. Queste organizzazioni rientrano in una gamma di settori diversi, tra cui servizi alle aziende, alta tecnologia, governo ed energia; tuttavia, un numero considerevole è costituito da settori aerospaziale, dei trasporti o dei viaggi.

Panoramica: APT27 si impegna in operazioni informatiche dove l'obiettivo è il furto di proprietà intellettuale, concentrandosi di solito sui dati e sui progetti che rendono una particolare organizzazione competitiva nel suo settore.

Malware associati: PANDORA, SOGU, ZXSHELL, GHOST, WIDEBERTH, QUICKPULSE, FLOWERPOT

Vettori d'attacco: APT27 utilizza spesso lo spear phishing come metodo di compromissione iniziale. Gli attori di minaccia di APT27 non sono noti perl'utilizzo di exploit zero-day originali, ma potrebbero sfruttarli una volta resi pubblici. In almeno un caso, gli attori malintenzionati di APT27 hanno utilizzato un account compromesso presso un'organizzazione vittima per inviare un'email di spear phishing ad altre vittime previste nei settori simili. Inoltre, APT27 potrebbe compromettere le applicazioni web vulnerabili per ottenere un punto d'appoggio iniziale.

APT 26

Presunta attribuzione: Cina

Settori target: aerospaziale, settori della difesa ed energetico, tra gli altri

Panoramica: APT26 si impegna in operazioni informatiche dove l'obiettivo è il furto di proprietà intellettuale, concentrandosi di solito sui dati e sui progetti che rendono una particolare organizzazione competitiva nel suo settore.

Malware associati: SOGU, HTRAN, POSTSIZE, TWOCHAINS, BEACON

Vettori d'attacco: il gruppo utilizza spesso compromissioni strategiche del web per ottenere l'accesso a reti target e backdoor personalizzate una volta che si trovano all'interno dell'ambiente di una vittima.

APT 25

Noto anche come: Uncool, Vixen Panda, Ke3chang, Sushi Roll, Tor

Presunta attribuzione: Cina

Settori target: base industriale della difesa, settori dei media, dei servizi finanziari e dei trasporti negli Stati Uniti e in Europa.

Panoramica: APT25 si occupa di operazioni informatiche il cui obiettivo è il furto di dati.

Malware associati: LINGBO, PLAYWORK, MADWOFL, MIRAGE, TOUGHROW, TOYSNAKE, SABERTOOTH

Vettori d'attacco: APT25 ha sempre utilizzato lo spear phishing nelle proprie operazioni, inclusi messaggi contenenti allegati dannosi e link ipertestuali dannosi. Gli aggressori di minaccia di APT25 tipicamente non utilizzano exploit zero-day, ma potrebbero sfruttarli una volta resi pubblici.

APT 24

Noto anche come: PittyTiger

Presunta attribuzione: Cina

Settori target: APT24 ha preso di mira un'ampia varietà di settori, tra cui organizzazioni del governo, della sanità, dell'edilizia e dell'ingegneria, dell'estrazione mineraria, del non profit e delle telecomunicazioni.

Panoramica: è noto che questo gruppo ha preso di mira organizzazioni con sede in paesi che includono Stati Uniti e Taiwan. APT24 ha sempre utilizzato l’utilità di archiviazione RAR per criptare e comprimere i dati rubati prima di trasferirli fuori dalla rete. Il furto di dati esfiltrato da questo aggressore si è concentrato principalmente su documenti con rilevanza politica, il che suggerisce che il suo intento è quello di monitorare le posizioni di vari stati su questioni applicabili alla controversia territoriale o di sovranità in corso in Cina.

Malware associati: PITTYTIGER, ENFAL, TAIDOOR

Vettori d'attacco: APT24 ha utilizzato email di phishing che utilizzano temi militari, di energia rinnovabile o di strategia aziendale come esche. Inoltre APT24 si impegna in operazioni informatiche dove l'obiettivo è il furto di proprietà intellettuale, concentrandosi di solito sui dati e sui progetti che rendono una particolare organizzazione competitiva nel suo settore.

APT 23

Presunta attribuzione: Cina

Settori target: media e governo negli Stati Uniti e nelle Filippine

Panoramica: APT23 ha rubato informazioni con significato politico e militare, piuttosto che proprietà intellettuale. Ciò suggerisce che APT23 potrebbe effettuare il furto di dati a supporto di operazioni di spionaggio più tradizionali.

Malware associato: NONGMIN

Vettori d'attacco: APT23 ha utilizzato messaggi di spear phishing per compromettere le reti delle vittime, includendo esche di phishing legate all'istruzione. Non è noto che gli aggressori di APT23 utilizzino exploit zero-day, ma questo gruppo ha sfruttato questi exploit una volta che sono stati resi pubblici.

APT 12

Anche noto come: Calc Team

Presunta attribuzione: Cina

Settori target: giornalisti, governo, base industriale della difesa

Panoramica: si ritiene che APT12 sia un gruppo di spionaggio informatico che si pensa abbia legami con l'Esercito Popolare Cinese di Liberazione. Gli obiettivi di APT12 sono coerenti con gli obiettivi più ampi della Repubblica Popolare Cinese (RPC). Le intrusioni e le campagne condotte da questo gruppo sono in linea con gli obiettivi della RPC e con l'interesse personale a Taiwan.

Malware associati: RIPTIDE, HIGHTIDE, THREBYTE, WATERSPOUT

Vettori d'attacco: Mandiant ha osservato APT12 consegnare questi documenti di exploit tramite email di phishing da account validi, ma compromessi. Sulla base delle attività passate di APT12, ci aspettiamo che il gruppo di minaccia continui a utilizzare il phishing come metodo di distribuzione del malware.

Risorse aggiuntive

APT 10

Anche noto come: Menupass Team

Presunta attribuzione: Cina

Settori target: costruzioni e ingegneria, aziende aerospaziali e di telecomunicazioni e governi negli Stati Uniti, in Europa e in Giappone.

Panoramica: APT10 è un gruppo di spionaggio informatico cinese che Mandiant monitora dal 2009. Storicamente ha preso di mira le aziende di edilizia e ingegneria, aerospaziale e telecomunicazioni, nonché governi negli Stati Uniti, in Europa e in Giappone. Riteniamo che prendere di mira questi settori supporti gli obiettivi della sicurezza nazionale cinese, tra cui l'acquisizione di preziose informazioni militari e di intelligence e il furto di dati aziendali riservati a sostegno delle aziende cinesi.

Malware associati: HAYMAKER, SNUGRIDE, BUGJUICE, QUASARRAT

Vettori d'attacco: questa recente attività dell'APT10 ha incluso sia lo spear phishing tradizionale sia l'accesso alle reti delle vittime tramite fornitori di servizi gestiti. Per maggiori informazioni sull'infezione tramite fornitori di servizi, vedi M-Trends 2016. Gli attacchi di spear phishing di APT10 erano relativamente poco sofisticati, sfruttando file .lnk all'interno degli archivi, file con doppia estensione (per esempio, [Redacted]_Group_Meeting_Document_20170222_doc_.exe) e, in alcuni casi, semplicemente documenti ingannevoli con nomi identici e launcher dannosi all'interno dello stesso archivio. Oltre allo spear phishing, Mandiant Threat Intelligence ha osservato che APT10 accede alle vittime tramite fornitori di servizi globali.

Risorse aggiuntive

Risorse aggiuntive

APT 9

Attribuzione presunta: sulla base dei dati disponibili, riteniamo che si tratti di un gruppo di freelance con una sponsorizzazione a opera di uno stato, probabilmente la Cina.

Settori target: organizzazioni con sede centrale in più paesi e in settori quali sanità e farmaceutica, edilizia e ingegneria, aerospaziale e difesa.

Panoramica: APT9 si occupa di operazioni informatiche il cui obiettivo è il furto di dati, concentrandosi di solito sui dati e sui progetti che rendono un'organizzazione particolare competitiva nel suo campo.

Malware associati: SOGU, HOMEUNIX, PHOTO, FUNRUN, Gh0st, ZXSHEL

Vettori d'attacco: APT9 è stata storicamente molto attiva nell'industria farmaceutica e della biotecnologia. Abbiamo notato che l'attore malintenzionato utilizza spear phishing, account validi e servizi remoti per l'accesso iniziale. In almeno un'occasione, Mandiant ha osservato APT9 presso due aziende del settore della biotecnologia e sospetta che gli attori malintenzionati di APT9 possano aver ottenuto l'accesso iniziale a una delle aziende utilizzando un rapporto di fiducia tra le due aziende. APT9 utilizza una vasta gamma di backdoor, incluse quelle disponibili pubblicamente, nonché backdoor che si ritiene siano personalizzate, ma utilizzate da più gruppi APT.

APT 8

Presunta attribuzione: Cina

Settori target: una vasta gamma di settori, tra cui media e intrattenimento, edilizia e ingegneria, aerospaziale e difesa.

Panoramica: APT8 si occupa di operazioni informatiche il cui obiettivo è il furto di proprietà intellettuale, concentrandosi di solito sui dati e sui progetti che rendono un'organizzazione competitiva nel suo campo. Riteniamo che questo sia un gruppo di freelance con sede in Cina e sponsorizzazione di uno stato. APT8 ha preso di mira organizzazioni con sede in diversi paesi, tra cui Stati Uniti, Germania, Regno Unito, India e Giappone.

Malware associati: HASH, FLYZAP, GOLFPRO, SAFEPUTT

Vettori d'attacco: gli attori malintenzionati di APT8 spesso utilizzano email di spear phishing con allegati o link dannosi oppure sfruttano server web vulnerabili con server web rivolti a internet per compromettere le organizzazioni prese di mira. Inoltre, in più intrusioni, gli attori malintenzionati di APT8 hanno inviato link dannosi alle potenziali vittime tramite chat o programmi di messaggistica immediata.

APT 7

Presunta attribuzione: Cina

Settori target: base industriale dell'edilizia, dell'ingegneria, aerospaziale e della difesa

Panoramica: APT7 si occupa di operazioni informatiche il cui obiettivo è il furto di proprietà intellettuale, concentrandosi di solito sui dati e sui progetti che rendono un'organizzazione competitiva nel suo campo. È noto che questo gruppo ha preso di mira organizzazioni con sede negli Stati Uniti e nel Regno Unito.

Malware associati: DIGDUG, TRACKS

Vettori d'attacco: gli attori malintenzionati di APT7 hanno utilizzato l'accesso a un'organizzazione per infiltrarsi in un'altra sotto la stessa società madre. Si tratta di una forma di movimento laterale, ma in questo caso è stato anche il metodo di compromissione iniziale per la seconda organizzazione.

APT 6

Presunta attribuzione: Cina

Settori target: trasporti, auto e motori, edilizia e ingegneria, telecomunicazioni, elettronica, edilizia e materiali

Panoramica: APT6 si occupa di operazioni informatiche il cui obiettivo è il furto di dati, più probabilmente dati e progetti che rendono un'organizzazione competitiva nel suo campo. APT6 ha preso di mira le organizzazioni con sede negli Stati Uniti e nel Regno Unito.

Malware associati: BELUGA, EXCHAIN, PUPTENT

Vettori d'attacco: APT6 utilizza diverse backdoor personalizzate, incluse alcune utilizzate da altri gruppi APT e quelle uniche del gruppo.

APT 5

Presunta attribuzione: Cina

Settori target: fornitori di telecomunicazioni regionali, dipendenti in Asia di aziende tecnologiche e di telecomunicazioni globali, produzione di alta tecnologia e tecnologie per le applicazioni militari negli Stati Uniti, in Europa e in Asia.

Panoramica: APT5 è attivo almeno dal 2007. APT5 ha preso di mira o violato organizzazioni di diversi settori, ma la sua attenzione sembra concentrarsi sulle società di telecomunicazioni e tecnologiche, in particolare sulle informazioni sulle comunicazioni satellitari. Già nel 2014, Mandiant Incident Response ha scoperto che APT5 apportava modifiche non autorizzate al codice dei file nel sistema operativo incorporato di un'altra piattaforma tecnologica. Nel 2015, APT5 ha compromesso un'organizzazione di telecomunicazioni statunitense che fornisce servizi e tecnologie per enti privati e governativi. Durante l’intrusione, gli attori malintenzionati hanno scaricato e modificato alcune immagini del router relative ai router di rete aziendali. Inoltre, durante questo periodo, l'APT5 ha rubato file relativi alla tecnologia militare da un'organizzazione di difesa dell'Asia meridionale. I nomi file osservati suggeriscono che gli attori malintenzionati erano interessati alle specifiche dei prodotti, alle email relative ai prodotti tecnici, alle offerte e alle proposte di approvvigionamento e ai documenti sui veicoli aerei senza equipaggio (UAV).

Malware associati: BRIGHTCREST, SWEETCOLA, SPIRITBOX, PALEJAB, WIDERIM, WINVAULT, HAPPYSAD, BIRDWORLD, FARCRY, CYFREE, FULLSILO, HELLOTHEWORLD, HAZELNUT, GIF89A, SCREENBIND, SHINYFUR, TRUCKBED, LEOUNCIA, FREESWIM, PULLTAB, HIREDHELP, NEDDYHORSE, PITCHFORK, BRIGHTCOMB, ENCORE, TABCTENG, SHORTLEASH, CLEANACT, BRIGHTCYAN, DANCEPARTY, HALFBACK, PUSHBACK, COOLWHIP, LOWBID, TIGHTROPE, DIRTYWORD, AURIGA, KEYFANG, Poison Ivy

Vettori d'attacco: sembra essere un grande gruppo di minacce composto da diversi sottogruppi, spesso con tattiche e infrastrutture distinte. Il gruppo utilizza il malware con capacità di keylogging per colpire specificamente le reti aziendali, dipendenti e dirigenti di aziende di telecomunicazioni. APT5 ha mostrato un interesse significativo nella compromissione dei dispositivi di networking e nella manipolazione del software sottostante che supporta queste appliance.

APT 4

Noto anche come: Maverick Panda, Sykipot Group, Wisp

Presunta attribuzione: Cina

Settori target: aerospaziale e difesa, ingegneria industriale, elettronica, auto e motori, pubblica amministrazione, telecomunicazioni e trasporti

Panoramica: APT4 sembra prendere di mira la base industriale della difesa (DIB) con un tasso di frequenza più elevato rispetto ad altre organizzazioni commerciali. Tuttavia, la storia delle intrusioni mirate di APT4 ha un'ampia portata.

Malware associati: GETKYS, LIFESAVER, CCHIP, SHYLILT, SWEETTOOTH, PHOTO, SOGO

Vettori d'attacco: gli attori malintenzionati di APT4 spesso sfruttano messaggi di spear phishing utilizzando temi basati sul governo, sul Dipartimento della difesa o sulla difesa industriale degli Stati Uniti. Gli attori malintenzionati di APT4 potrebbero riproporre contenuti validi provenienti da siti web del governo o del Dipartimento della difesa degli Stati Uniti all'interno dei propri corpi di messaggi per conferire loro legittimità.

APT 3

Anche noto come: UPS Team

Presunta attribuzione: Cina

Settori target: aerospaziale e della difesa, edilizia e ingegneria, alta tecnologia, telecomunicazioni, trasporti

Panoramica: il gruppo di minaccia con sede in Cina che Mandiant identifica come APT3 è uno dei gruppi di minaccia più sofisticati tracciati da Mandiant Threat Intelligence e ha una storia di utilizzo di exploit basati su browser come zero-day (ad esempio, Internet Explorer, Firefox e Adobe Flash Player). Dopo aver sfruttato con successo un host di destinazione, questo gruppo eseguirà rapidamente il dump delle credenziali, si sposterà lateralmente verso host aggiuntivi e installerà backdoor personalizzate. L'infrastruttura di comando e controllo (CnC) di APT3 è difficile da tracciare, poiché la sovrapposizione tra le campagne è minima.

Malware associati: SHOTPUT, COOKIECUTTER, SOGU

Vettori d'attacco: le email di phishing utilizzate da APT3 sono solitamente di natura generica e quasi sembrano essere spam. Gli attacchi hanno sfruttato una vulnerabilità priva di patch nelle modalità di analisi dei file Flash Video (FLV) da parte di Adobe Flash Player. L'exploit utilizza comuni tecniche di corruzione vettoriale per bypassare la randomizzazione ASLR (Address Space Layout Randomization) e utilizza la programmazione orientata al ritorno (ROP) per bypassare la prevenzione dell'esecuzione dei dati (DEP). Un trucco intelligente alla loro tecnica ROP semplifica l'exploit ed eluderà alcune tecniche di rilevamento ROP. Lo shellcode viene archiviato nel file exploit di Adobe Flash Player compresso insieme a una chiave utilizzata per la decrittografia. Il payload è codificato xor e nascosto all'interno di un'immagine.

Risorse aggiuntive

Risorse aggiuntive

APT 2

Presunta attribuzione: Cina

Settori target: militare e aerospaziale

Panoramica: questo gruppo è stato osservato per la prima volta nel 2010. APT2 si occupa di operazioni informatiche il cui obiettivo è il furto di proprietà intellettuale, concentrandosi di solito sui dati e sui progetti che rendono un'organizzazione competitiva nel suo campo.

Malware associati: MOOSE, WARP

Vettori d'attacco: email di spear phishing che sfruttano CVE-2012-0158.

APT 1

Noto anche come: Unit 61398, Comment Crew

Sospetta attribuzione: 3° Dipartimento (总参三部二局) del Dipartimento di Stato Maggiore (GSD) dell'Esercito Popolare di Liberazione Popolare (PLA), che è comunemente noto con l'indicatore di copertura delle unità militari (MUCD) come Unità 61398 (61398部队).

Settori target: tecnologia dell'informazione, aerospaziale, pubblica amministrazione, satelliti e telecomunicazioni, ricerca e consulenza scientifica, energia, trasporti, costruzione e produzione, servizi di ingegneria, elettronica di alta tecnologia, organizzazioni internazionali, servizi legali, media, pubblicità e intrattenimento, navigazione, chimica, servizi finanziari, alimentazione e agricoltura, sanità, metalli e minerario, istruzione

Panoramica: APT1 ha sistematicamente rubato centinaia di terabyte di dati ad almeno 141 organizzazioni e ha dimostrato la capacità e l'intenzione di rubare da decine di organizzazioni contemporaneamente. Il gruppo si concentra sulla compromissione di organizzazioni di una vasta gamma di settori nei paesi di lingua inglese. Le dimensioni dell'infrastruttura di APT1 implicano una grande organizzazione con almeno decine, ma potenzialmente centinaia, di operatori umani.

Malware associati: TROJAN.ECLTYS, BACKDOOR.BARKIOFORK, BACKDOOR.WAKEMINAP, TROJAN.DOWNBOT, BACKDOOR.DALBOT, BACKDOOR.REVIRD, TROJAN.BADNAME, BACKDOOR.WUALESS

Vettori d'attacco: il metodo più comunemente osservato per la compromissione iniziale è lo spear phishing. Le email di spear phishing contengono un allegato dannoso o un link ipertestuale a un file dannoso. La riga dell'oggetto e il testo nel corpo dell'email sono in genere pertinenti per il destinatario. APT1 crea anche account webmail utilizzando nomi reali di persone. Mentre gli intrusi di APT1 usano a volte backdoor disponibili pubblicamente come Poison Ivy e Gh0st RAT, la maggior parte delle volte usano quelle che sembrano essere le proprie backdoor personalizzate. Durante la loro permanenza nella rete (che potrebbe richiedere anni), APT1 di solito installa nuove backdoor man mano che rivendicano più sistemi nell'ambiente. Quindi, se una backdoor viene scoperta ed eliminata, ne rimangono altre utilizzabili. Di solito rileviamo più famiglie di backdoor APT1 sparse sulla rete di una vittima quando APT1 è presente da più di qualche settimana.

APT43

Presunta attribuzione: Corea del Nord

Settori di destinazione: APT43 è strettamente allineato agli interessi dello stato ed è fortemente correlato agli sviluppi geopolitici che interessano Kim Jong-un. APT43, ha condotto costantemente attività di spionaggio contro organizzazioni sudcoreane e statunitensi. Nel 2021, gli interessi si sono spostati sul verticale sanitario in risposta alla pandemia di COVID-19.

Panoramica: APT43 è un prolifico operatore informatico che supporta gli interessi del regime nordcoreano. Il gruppo combina capacità tecniche moderatamente sofisticate con tattiche aggressive di ingegneria sociale, in particolare contro organizzazioni governative, accademici e think tank sudcoreani e statunitensi incentrati sulle questioni geopolitiche della penisola coreana. Oltre alle campagne di spionaggio, riteniamo che APT43 si autofinanzi tramite operazioni di criminalità informatica a supporto della sua missione principale di raccolta di informazioni strategiche. APT43 ha collaborato con altri operatori di spionaggio nordcoreani in diverse operazioni, sottolineando il ruolo importante che svolge nell'apparato informatico del regime.

Malware associati: il gruppo utilizza molte famiglie di malware, tra cui, a titolo esemplificativo, gh0st RAT, QUASARRAT, AMADEY, BITTERSWEET, COINTOSS, LATEOP

Vettori d'attacco: APT43 si è affidato a campagne di spear phishing come metodo per eseguire le sue elaborate tattiche di ingegneria sociale. Il gruppo crea numerosi account falsi e fraudolenti da utilizzare nell'ingegneria sociale, oltre a coprire le identità per l'acquisto di strumenti operativi e infrastrutture.

Risorse aggiuntive

Risorse aggiuntive

Risorse aggiuntive

Risorse aggiuntive

APT 38

Presunta attribuzione: Corea del Nord

Settori target: istituti finanziari in tutto il mondo

Panoramica: la nostra analisi del gruppo di minaccia supportato dal regime nordcoreano che chiamiamo APT38 rivela che è responsabile dei più grandi colpi informatici osservati. Sebbene APT38 condivida le risorse di sviluppo del malware e la sponsorizzazione dello stato nordcoreano con un gruppo indicato dalla comunità di sicurezza come "Lazarus", riteniamo che la motivazione finanziaria, il set di strumenti unici e le tattiche, tecniche e procedure (TTP) di APT38 siano abbastanza distinti da essere monitorati separatamente dalle altre attività informatiche nordcoreane.

Malware associati: questo gruppo ampio e prolifico utilizza una varietà di famiglie di malware personalizzate, tra cui backdoor, tunneler, dataminer e malware distruttivi per rubare milioni di dollari dagli istituti finanziari e rendere inoperabili le reti delle vittime.

Vettori d'attacco: APT38 ha condotto operazioni in oltre 16 organizzazioni in almeno 11 paesi. Questo gruppo è attento, calcolato e ha dimostrato il desiderio di mantenere l'accesso agli ambienti delle vittime per tutto il tempo necessario a comprendere il layout della rete, le autorizzazioni richieste e le tecnologie di sistema per raggiungere i propri obiettivi. APT38 è unico in quanto non ha paura di distruggere in modo aggressivo le prove o le reti di vittime nell'ambito delle loro operazioni.

Risorse aggiuntive

APT 37

Presunta attribuzione: Corea del Nord

Settori target: principalmente la Corea del Sud, ma anche Giappone, Vietnam e Medio Oriente, in vari settori verticali, tra cui chimico, elettronica, manifatturiero, aerospaziale, automobilistico e sanitario.

Panoramica: la nostra analisi delle recenti attività di APT37 rivela che le operazioni del gruppo si stanno espandendo in termini di portata e sofisticazione, con un set di strumenti che include l'accesso alle vulnerabilità zero-day e al malware wiper. Riteniamo con sicurezza che questa attività venga svolta per conto del governo nordcoreano, a causa degli artefatti di sviluppo del malware e di obiettivi in linea con gli interessi statali nordcoreani. Mandiant Threat Intelligence ritiene che APT37 sia allineato con l'attività riportata pubblicamente come Scarcruft e Group123.

Malware associati: una suite diversificata di malware per l'intrusione e l'esfiltrazione iniziali. Oltre al malware personalizzato utilizzato a scopo di spionaggio, APT37 ha anche accesso al malware distruttivo.

Vettori d'attacco: tattiche di ingegneria sociale su misura per gli obiettivi desiderati, compromissioni strategiche del web tipiche di operazioni di spionaggio informatico mirate e l'uso di siti di condivisione file tramite torrent per distribuire il malware in modo più indiscriminato. Sfruttamento frequente delle vulnerabilità nel software di videoscrittura Hangul (HWP) e Adobe Flash. Il gruppo ha dimostrato di accedere alle vulnerabilità zero-day (CVE-2018-0802) e di incorporarle nelle operazioni.

Risorse aggiuntive

APT42

Presunta attribuzione: Iran

Settori target: APT42 si concentra in modo particolare su individui o gruppi che si oppongono all'attuale regime iraniano, tentando di accedere ai loro account personali e dispositivi mobili. Il gruppo ha anche scelto come target in modo coerente think tank occidentali, ricercatori, giornalisti, funzionari governativi occidentali, ex funzionari governativi iraniani e la diaspora iraniana all'estero.

Panoramica: APT42 è un gruppo di spionaggio informatico sponsorizzato dallo stato iraniano incaricato di condurre operazioni di raccolta e sorveglianza delle informazioni contro individui e organizzazioni di interesse strategico per il governo iraniano. Le operazioni del gruppo, progettate per creare fiducia e instaurare un rapporto con le vittime, hanno incluso l'accesso agli account di posta elettronica personali e aziendali di funzionari governativi, ex legislatori o politici iraniani, membri della diaspora iraniana e gruppi di opposizione, giornalisti e accademici coinvolti nella ricerca sull'Iran. 

Malware associati: il gruppo utilizza molte famiglie di malware, tra cui, a titolo esemplificativo, TAMECAT, TABBYCAT, VBREVSHELL, POWERPOST, BROKEYOLK, CHAIRSMACK, ASYNCRAT

Vettori d'attacco: come la maggior parte dei gruppi, APT42 si affida alle campagne di phishing, ma il suo vettore d'attacco principale è l'uso di malware mobile per monitorare la posizione delle vittime, registrare le conversazioni telefoniche, accedere a video e immagini ed estrarre intere caselle di posta di SMS.

Risorse aggiuntive

Risorse aggiuntive

Risorse aggiuntive

Risorse aggiuntive

APT 39

Presunta attribuzione: Iran

Settori target: sebbene l'ambito di azione di APT39 sia globale, le sue attività sono concentrate in Medio Oriente. APT39 ha dato priorità al settore delle telecomunicazioni, rivolgendosi ulteriormente al settore viaggi e alle aziende IT che lo supportano e al settore di alta tecnologia.

Panoramica: l'attenzione del gruppo al settore delle telecomunicazioni e dei viaggi suggerisce l'intenzione di eseguire operazioni di monitoraggio, tracciamento o sorveglianza contro individui specifici, raccogliere dati di proprietà o dei clienti per scopi commerciali o operativi che soddisfano requisiti strategici relativi alle priorità nazionali o creare accessi e vettori aggiuntivi per facilitare le campagne future. Il targeting degli enti governativi suggerisce un potenziale intento secondario di raccogliere dati geopolitici che potrebbero avvantaggiare il processo decisionale degli stati.

Malware associati: il gruppo sfrutta principalmente le backdoor SEAWEED e CACHEMONEY insieme a una variante specifica della backdoor POWBAT.

Vettori d'attacco: per la compromissione iniziale Mandiant Intelligence ha osservato APT39 sfruttare lo spear phishing con allegati dannosi e/o link ipertestuali che in genere causano un'infezione POWBAT. In alcuni casi sono stati sfruttati anche gli account email precedentemente compromessi, con la probabilità di abusare della fiducia intrinseca e aumentare le possibilità che un attacco vada a buon fine. APT39 registra spesso e sfrutta domini che si spacciano per servizi web e organizzazioni legittimi che sono pertinenti per l'obiettivo previsto. Inoltre, questo gruppo ha regolarmente identificato e sfruttato server web vulnerabili di organizzazioni prese di mira per installare webshell, come ANTAK e ASPXSPY, e utilizzato credenziali legittime rubate per compromettere le risorse Outlook Web Access (OWA) rivolte all'esterno. Non abbiamo osservato le vulnerabilità di exploit di APT39.

Risorse aggiuntive

APT 34

Presunta attribuzione: Iran

Settori target: questo gruppo di minaccia ha condotto attacchi mirati in una varietà di settori, tra cui finanziario, governativo, energetico, chimico e delle telecomunicazioni, e ha ampiamente concentrato le proprie operazioni all'interno del Medio Oriente.

Panoramica: riteniamo che APT34 sia coinvolto in un'operazione di spionaggio informatico a lungo termine, in gran parte focalizzata su sforzi di ricognizione a favore degli interessi dello stato iraniano ed è operativo almeno dal 2014. Riteniamo che APT34 operi per conto del governo iraniano in base a dettagli delle infrastrutture che contengono riferimenti all'Iran, all'uso delle infrastrutture iraniane e a obiettivi in linea con gli interessi dello stato.

Malware associati: POWBAT, POWRUNER, BONDUPDATER

Vettori d'attacco: nella sua ultima campagna, APT34 ha sfruttato la recente vulnerabilità di Microsoft Office CVE-2017-11882 per eseguire il deployment di POWRUNER e BONDUPDATER.

Risorse aggiuntive

APT 33

Presunta attribuzione: Iran

Settori target: aerospaziale, energetico

Panoramica: APT33 ha preso di mira organizzazioni di diversi settori, con sede negli Stati Uniti, in Arabia Saudita e in Corea del Sud. APT33 ha mostrato un particolare interesse per le organizzazioni del settore aeronautico coinvolte in capacità sia militari che commerciali, nonché per organizzazioni del settore energetico legate alla produzione petrolchimica.

Malware associati: SHAPESHIFT, DROPSHOT, TURNEDUP, NANOCORE, NETWIRE, ALFA Shell

Vettori d'attacco: APT33 ha inviato email di spear phishing a dipendenti con lavori legati all'industria aeronautica. Queste email includevano esche a tema reclutamento e contenevano link a file di applicazioni HTML dannosi (.hta). I file .hta contenevano descrizioni di offerte di lavoro e link a offerte di lavoro legittime su noti siti web che pubblicano offerte di lavoro e che sarebbero pertinenti per le persone prese di mira.

Risorse aggiuntive

APT 28

Anche noto come: Tsar Team

Attribuzione presunta: governo russo

Settori target: Caucaso, in particolare Georgia, paesi e forze armate dell'Europa orientale, Organizzazione del Trattato dell'Atlantico del Nord (NATO) e altre organizzazioni di sicurezza e aziende di difesa europee

Panoramica: APT28 è un team qualificato di sviluppatori e operatori che raccoglie informazioni sulla difesa e su questioni geopolitiche, informazioni utili solo a un governo. Questo gruppo APT compila campioni di malware con impostazioni in lingua russa durante l'orario di lavoro (dalle 8:00 alle 18:00), in linea con il fuso orario delle principali città russe, tra cui Mosca e San Pietroburgo. Ciò suggerisce che APT28 riceve risorse finanziarie e di altro tipo dirette in corso da un'organizzazione affermata, molto probabilmente il governo russo.

Malware associati: CHOPSTICK, SOURFACE

Vettori d'attacco: gli strumenti comunemente utilizzati da APT28 includono il downloader SOURFACE, la sua backdoor EVILTOSS di seconda fase e una famiglia modulare di impianti chiamata CHOPSTICK. APT28 ha utilizzato la crittografia RSA per proteggere i file e le informazioni rubate trasferite dalla rete della vittima al controller. Dal 2007 ha anche apportato modifiche incrementali e sistematiche al downloader SOURFACE e all'ecosistema circostante, il che indica uno sviluppo di lunga data e mirato.

Risorse aggiuntive

APT29

Presunta attribuzione: Russia

Settori target: storicamente, gli obiettivi hanno incluso governi occidentali, organismi politici e per gli affari esteri, appaltatori pubblici, università e, eventualmente, organi di stampa internazionali.

Panoramica: APT29 è un gruppo di cyber spionaggio sponsorizzato dallo stato con sede in Russia. Il gruppo possiede capacità formidabili, tra cui una serie di strumenti sviluppati su misura, un'ampia rete di comando e controllo (C2) che include un'infrastruttura satellitare non sicura (attraverso fornitori di servizi apparenti) ed elevati livelli di sicurezza operativa. Nelle indagini in cui abbiamo lavorato e in cui era presente APT29, abbiamo notato che il gruppo ha dimostrato un'elevata consapevolezza della configurazione di sicurezza difensiva delle sue vittime e una certa dimestichezza con i metodi per eludere gli investigatori e i tentativi di correzione.

Malware associati: il gruppo utilizza molte famiglie di malware, tra cui, a titolo esemplificativo, BEACON, COZYCAR, DAVESHELL, GREEDYHEIR, HTRAN, REGEORG, SEADADDY, SUNBURST

Vettori d'attacco: APT29 utilizza spesso lo spear phishing per ottenere l'accesso alle reti target, ma è in grado di eseguire forme più avanzate di attività di intrusione, come la compromissione delle catene di fornitura. Mentre alcuni gruppi di aggressori inviano messaggi di spear phishing altamente personalizzati e mirati, le email di APT29 possono essere molto generiche. Una volta stabilito un punto di appoggio, il gruppo in genere installa malware per creare una backdoor che aiuti a mantenere l'accesso nel tempo.

Risorse aggiuntive 

Risorse aggiuntive

Risorse aggiuntive

Risorse aggiuntive

APT36

Attribuzione presunta: Pakistan

Settori target: Attivo almeno dal 2013, APT36 ha condotto campagne di intrusione che riflettono uno sforzo concertato per prendere di mira l'India, rivale regionale, dimostrando anche un interesse in obiettivi quali organizzazioni militari e intergovernative come l'Organizzazione del Trattato del Nord Atlantico (NATO) e le Nazioni Unite (ONU) che hanno interessi nella regione. Inoltre, APT36 ha preso di mira diversi settori in paesi al di fuori della regione, tra cui gli Stati Uniti.

Panoramica: APT36 è un attore di spionaggio informatico di lunga data che effettua la raccolta di informazioni a sostegno degli interessi militari e diplomatici pakistani.

Malware associati: il gruppo utilizza molte famiglie di malware, tra cui, a titolo esemplificativo, MOONDOOR, SEEPASS, BabylonRAT, SEEKEYS, BREACHRAT, SEEDRIVE, UPDATESEE, MOONRAT, SEEGAP

Vettori d'attacco: APT36 utilizza in genere lo spear phishing come metodo principale di compromissione iniziale, con allegati dannosi che includono eseguibili Microsoft Windows e documenti Microsoft Office (che sfruttano macro ed exploit noti). Le attività di phishing di questo attore di solito seguono temi militari e politici. Abbiamo anche osservato che questi soggetti sfruttano un'esclusiva tecnica del watering hole che utilizza l'ingegneria sociale (anziché exploit web) per indurre le vittime a scaricare e aprire documenti Microsoft Office dannosi.

APT 35

Settori target: personale militare, diplomatico e governativo negli Stati Uniti, in Europa occidentale e del Medio Oriente, organizzazioni nei settori dei media, dell'energia e della difesa industriale e settori dell'ingegneria, dei servizi alle imprese e delle telecomunicazioni.

Panoramica: APT35 (noto anche come Newscaster Team) è un team di spionaggio informatico sponsorizzato dal governo iraniano che conduce operazioni a lungo termine e ad alto impiego di risorse per la raccolta di informazioni strategiche. Mandiant Threat Intelligence ha osservato operazioni di APT35 risalenti al 2014. APT35 ha sempre fatto affidamento su strumenti marginalmente sofisticati, tra cui webshell disponibili pubblicamente e strumenti di penetration testing, suggerendo una capacità di sviluppo relativamente emergente. Tuttavia, la portata e l'ambito delle operazioni di APT35, in particolare per quanto riguarda i suoi complessi sforzi di ingegneria sociale, indicano probabilmente che il gruppo ha ottime risorse in altre aree.

Malware associati: ASPXSHELLSV, BROKEYOLK, PUPYRAT, TUNNA, MANGOPUNCH, DRUBOT, HOUSEBLEND

Vettori d'attacco: APT35 si basa tipicamente sullo spear phishing per compromettere un'organizzazione, spesso utilizzando esche legate alla sanità, alle offerte di lavoro, ai curriculum o ai criteri sulle password. Tuttavia, abbiamo anche osservato che il gruppo utilizza account compromessi con credenziali raccolte da operazioni precedenti, compromissioni strategiche del web e attacchi spray di password contro applicazioni web rivolte all'esterno come tecniche aggiuntive per ottenere l'accesso iniziale.

APT 32

Anche noto come: OceanLotus Group

Presunta attribuzione: Vietnam

Settori target: aziende straniere che investono nei settori manifatturiero, dei prodotti di consumo, della consulenza e dell'accoglienza in Vietnam

Panoramica: le recenti attività rivolte verso interessi privati in Vietnam suggeriscono che APT32 rappresenta una minaccia per le aziende di business, manifatturiere o che si preparano a investire nel paese. Anche se la motivazione specifica alla base di queste attività rimane oscura, queste azioni potrebbero sostanzialmente erodere il vantaggio competitivo delle organizzazioni prese di mira.

Malware associati: SOUNDBITE, WINDSHIELD, PHOREAL, BEACON, KOMPROGO

Vettori d'attacco: gli attori malintenzionati APT32 sfruttano i file ActiveMime che impiegano metodi di ingegneria sociale per indurre la vittima ad abilitare le macro. Al momento dell'esecuzione, il file inizializzato in genere scarica diversi payload dannosi da un server remoto. Gli attori malintenzionati di APT32 consegnano gli allegati dannosi tramite email di spear phishing. Dalle prove è emerso che alcune informazioni potrebbero essere state inviate tramite Gmail.

APT 1

Noto anche come: Unit 61398, Comment Crew

Sospetta attribuzione: 3° Dipartimento (总参三部二局) del Dipartimento di Stato Maggiore (GSD) dell'Esercito Popolare di Liberazione Popolare (PLA), che è comunemente noto con l'indicatore di copertura delle unità militari (MUCD) come Unità 61398 (61398部队).

Settori target: tecnologia dell'informazione, aerospaziale, pubblica amministrazione, satelliti e telecomunicazioni, ricerca e consulenza scientifica, energia, trasporti, costruzione e produzione, servizi di ingegneria, elettronica di alta tecnologia, organizzazioni internazionali, servizi legali, media, pubblicità e intrattenimento, navigazione, chimica, servizi finanziari, alimentazione e agricoltura, sanità, metalli e minerario, istruzione

Panoramica: APT1 ha sistematicamente rubato centinaia di terabyte di dati ad almeno 141 organizzazioni e ha dimostrato la capacità e l'intenzione di rubare da decine di organizzazioni contemporaneamente. Il gruppo si concentra sulla compromissione di organizzazioni di una vasta gamma di settori nei paesi di lingua inglese. Le dimensioni dell'infrastruttura di APT1 implicano una grande organizzazione con almeno decine, ma potenzialmente centinaia, di operatori umani.

Malware associati: TROJAN.ECLTYS, BACKDOOR.BARKIOFORK, BACKDOOR.WAKEMINAP, TROJAN.DOWNBOT, BACKDOOR.DALBOT, BACKDOOR.REVIRD, TROJAN.BADNAME, BACKDOOR.WUALESS

Vettori d'attacco: il metodo più comunemente osservato per la compromissione iniziale è lo spear phishing. Le email di spear phishing contengono un allegato dannoso o un link ipertestuale a un file dannoso. La riga dell'oggetto e il testo nel corpo dell'email sono in genere pertinenti per il destinatario. APT1 crea anche account webmail utilizzando nomi reali di persone. Mentre gli intrusi di APT1 usano a volte backdoor disponibili pubblicamente come Poison Ivy e Gh0st RAT, la maggior parte delle volte usano quelle che sembrano essere le proprie backdoor personalizzate. Durante la loro permanenza nella rete (che potrebbe richiedere anni), APT1 di solito installa nuove backdoor man mano che rivendicano più sistemi nell'ambiente. Quindi, se una backdoor viene scoperta ed eliminata, ne rimangono altre utilizzabili. Di solito rileviamo più famiglie di backdoor APT1 sparse sulla rete di una vittima quando APT1 è presente da più di qualche settimana.