Ameaças persistentes avançadas (APTs)

APT41

Suspeita de atribuição: China

Setores-alvo: a APT 41 tem como alvo direto organizações em pelo menos 14 países desde 2012. As campanhas de espionagem do grupo têm como alvo os setores de saúde, telecomunicações e alta tecnologia, além de incluir historicamente o roubo de propriedade intelectual. Suas invasões em crimes cibernéticos são mais evidentes entre os alvos do setor de videogames, incluindo a manipulação de moedas virtuais e a tentativa de implantação de ransomware. As operações da APT 41 contra empresas de ensino superior, serviços de viagem e empresas de notícias/mídia indicam de alguma forma que o grupo também monitora indivíduos e realiza vigilância cibernética.

Visão geral: a APT 41 é um grupo prolífico de ameaças cibernéticas que realiza atividades de espionagem patrocinadas pelo governo chinês, além de possíveis atividades com motivação financeira fora do controle do governo.

Malwares associados: a APT 41 foi observada usando pelo menos 46 famílias de códigos e ferramentas diferentes.

Vetores de ataque: em geral, a APT 41 utiliza e-mails de spear phishing com anexos como arquivos HTML compilados (.chm) para comprometer inicialmente as vítimas. Depois de conseguir acesso à organização vítima, a APT 41 pode utilizar TTPs mais sofisticados e implantar outros malwares. Por exemplo, em uma campanha que durou quase um ano, a APT 41 comprometeu centenas de sistemas e utilizou cerca de 150 malwares únicos, incluindo backdoors, ladrões de credenciais, keyloggers e rootkits. A APT 41 também implantou rootkits e bootkits de registro de inicialização mestre (MBR) de modo limitado para ocultar o próprio malware e manter-se por mais tempo em sistemas selecionados das vítimas.

Outros recursos

APT40

Suspeita de atribuição: China

Setores-alvo: a APT 40 é um grupo chinês de espionagem cibernética que normalmente tem como alvo países estrategicamente importantes para a Iniciativa do Cinturão e Rota. Embora o grupo tenha como alvo organizações globais, em especial aquelas com foco em engenharia e defesa, também realiza historicamente campanhas contra entidades regionais em áreas como o Sudeste Asiático. Desde pelo menos janeiro de 2013, o grupo tem realizado campanhas contra uma variedade de setores, incluindo alvos marítimos, defesa, aviação, produtos químicos, pesquisa/educação, governos e organizações de tecnologia.

Visão geral: a Mandiant Intelligence acredita que as operações da APT 40 são uma contraparte cibernética aos esforços da China de modernizar as próprias capacidades navais. Isso também se manifesta no foco em ter como alvos projetos de pesquisa em larga escala em universidades e a obtenção de projetos para equipamentos e veículos marítimos. As operações do grupo costumam se concentrar em projetos patrocinados por governos e na coleta de grandes quantidades de informações específicas desses projetos, incluindo propostas, reuniões, dados financeiros, informações de envio, planos, desenhos e dados brutos.

Malwares associados: a APT 40 foi observada usando pelo menos 51 famílias de códigos diferentes. Entre elas, 37 não são públicas. Pelo menos sete dessas ferramentas não públicas (BADSIGN, FIELDGOAL, FINDLOCK, PHOTO, SCANBOX, SOGU e WIDETONE) são compartilhadas com outros operadores suspeitos vinculados à China.

Vetores de ataque: em geral, a APT 40 se apresenta como um indivíduo proeminente que provavelmente é do interesse de um alvo para enviar e-mails de spear phishing. Isso inclui fingir ser um jornalista, uma pessoa de uma publicação comercial ou alguém de uma organização não governamental (ONG) ou militar relevante. Em alguns casos, o grupo utilizou endereços de e-mail previamente comprometidos para enviar e-mails de spear phishing.

Outros recursos

APT31

Suspeita de atribuição: China

Setores-alvo: diversos, incluindo governos, organizações financeiras internacionais e organizações aeroespaciais e de defesa, bem como de alta tecnologia, construção e engenharia, telecomunicações, mídia e seguros.

Visão geral: a APT 31 é um agente de espionagem cibernética vinculado à China, concentrado na obtenção de informações que podem proporcionar vantagens políticas, econômicas e militares ao governo chinês e às empresas estatais chinesas.

Malwares associados: SOGU, LUCKYBIRD, SLOWGYRO e DUCKFAT

Vetores de ataque: a APT 31 explorou vulnerabilidades em aplicativos como Java e Adobe Flash para comprometer os ambientes das vítimas.

APT30

Suspeita de atribuição: China

Setores-alvo: membros da Associação de Nações do Sudeste Asiático (ASEAN)

Visão geral: a APT 30 é conhecida não apenas pela atividade sustentada durante um longo período de tempo, mas também por modificar e adaptar com sucesso o código-fonte para manter as mesmas ferramentas, táticas e infraestruturas desde pelo menos 2005. As evidências mostram que o grupo prioriza alvos, muito provavelmente trabalha em turnos em um ambiente colaborativo e cria malwares com base em um plano de desenvolvimento coerente. O grupo consegue infectar redes isoladas desde 2005.

Malwares associados: SHIPSHAPE, SPACESHIP e FLASHFLOOD

Vetores de ataque: a APT 30 usa um conjunto de ferramentas que inclui downloaders, backdoors, um controlador central e vários componentes projetados para infectar unidades removíveis e redes cruzadas com isolamento térmico para roubar dados. A APT 30 frequentemente registra os próprios domínios DNS para atividades de CnC de malware.

APT27

Suspeita de atribuição: China

Setores-alvo: a APT 27 tem como alvo várias organizações com sede em todo o mundo, incluindo América do Norte e do Sul, Europa e Oriente Médio. Essas organizações se enquadram em uma série de setores diferentes, incluindo serviços comerciais, alta tecnologia, governo e energia. No entanto, um número notável delas está nos setores aeroespacial e de transportes ou viagens.

Visão geral: a APT 27 se envolve em operações cibernéticas com o objetivo de roubar propriedade intelectual, em geral com foco em dados e projetos que tornam uma determinada organização competitiva em seu campo.

Malwares associados: PANDORA, SOGU, ZXSHELL, GHOST, WIDEBERTH, QUICKPULSE e FLOWERPOT

Vetores de ataque: a APT 27 utiliza frequentemente ataques de spear phishing como método de comprometimento inicial. Os agentes de ameaças da APT 27 não são conhecidos por usar exploits originais de dia zero, mas podem utilizá-los assim que eles se tornam públicos. Em pelo menos um caso, os agentes da APT 27 usaram uma conta comprometida em uma organização vítima para enviar um e-mail de spear phishing a outras vítimas em setores semelhantes. Além disso, a APT 27 pode comprometer aplicativos da Web vulneráveis para obter uma posição inicial.

APT26

Suspeita de atribuição: China

Setores-alvo: aeroespacial, defesa e energia, entre outros

Visão geral: a APT 26 se envolve em operações cibernéticas com o objetivo de roubar propriedade intelectual, em geral com foco em dados e projetos que tornam uma determinada organização competitiva em seu campo.

Malwares associados: SOGU, HTRAN, POSTSIZE, TWOCHAINS e BEACON

Vetores de ataque: o grupo usa comprometimentos estratégicos da Web com frequência para conseguir acesso às redes visadas, e backdoors personalizados depois de entrar no ambiente da vítima.

APT25

Também conhecida como: Uncool, Vixen Panda, Ke3chang, Sushi Roll e Tor

Suspeita de atribuição: China

Setores-alvo: base industrial de defesa, mídia, serviços financeiros e setores de transporte nos EUA e na Europa.

Visão geral: a APT 25 se envolve em operações cibernéticas com o objetivo de roubar dados.

Malwares associados: LINGBO, PLAYWORK, MADWOFL, MIRAGE, TOUGHROW, TOYSNAKE e SABERTOOTH

Vetores de ataque: historicamente, a APT 25 usa ataques de spear phishing em suas operações, incluindo mensagens com anexos e hiperlinks maliciosos. Em geral, os agentes de ameaças da APT 25 não usam exploits de dia zero, mas podem utilizá-los assim que eles se tornam públicos.

APT24

Também conhecido como: PittyTiger

Suspeita de atribuição: China

Setores-alvo: a APT 24 tem como alvo uma ampla variedade de setores, incluindo organizações nos setores governamental, de saúde, de construção e engenharia, de mineração, organizações sem fins lucrativos e empresas de telecomunicações.

Visão geral: o grupo é conhecido por ter como alvo organizações com sede em países como os EUA e Taiwan. Historicamente, a APT 24 usa o utilitário de arquivamento RAR para criptografar e compactar dados roubados antes de transferi-los para fora da rede. O roubo de dados exfiltrados desse agente tem como foco principal documentos com importância política, o que sugere que a intenção é monitorar as posições de vários países em relação a questões aplicáveis à disputa territorial ou à soberania atual da China.

Malwares associados: PITTYTIGER, ENFAL e TAIDOOR

Vetores de ataque: a APT 24 usa e-mails de phishing com temas militares, de energia renovável ou de estratégia comercial como iscas. Além disso, a APT 24 se envolve em operações cibernéticas com o objetivo de roubar propriedade intelectual, em geral com foco em dados e projetos que tornam uma determinada organização competitiva em seu campo.

APT23

Suspeita de atribuição: China

Setores-alvo: mídia e governo nos EUA e nas Filipinas

Visão geral: a APT 23 roubou informações de importância política e militar, em vez de propriedade intelectual. Isso sugere que o grupo pode realizar o roubo de dados em apoio a operações de espionagem mais tradicionais.

Malware associado: NONGMIN

Vetores de ataque: a APT 23 usou mensagens de spear phishing para comprometer as redes das vítimas, incluindo iscas de phishing relacionadas à educação. Os agentes da APT 23 não são conhecidos por usar exploits de dia zero, mas podem utilizá-los assim que eles se tornam públicos.

APT22

Também conhecido como: Barista

Suspeita de atribuição: China

Setores-alvo: um amplo conjunto de entidades políticas, militares e econômicas no Leste Asiático, na Europa e nos EUA

Visão geral: acreditamos que a APT 22 tem um vínculo com a China e está operacional desde o início de 2014, realizando invasões e atividades de ataque contra entidades dos setores público e privado, incluindo dissidentes.

Malwares associados: PISCES, SOGU, FLATNOTE, ANGRYBELL, BASELESS, SEAWOLF e LOGJAM

Vetores de ataque: os agentes de ameaças da APT 22 têm usado comprometimentos estratégicos da Web para explorar passivamente alvos de interesse. Os agentes da APT 22 também identificaram servidores da Web voltados ao público que estavam vulneráveis nas redes das vítimas e carregaram webshells para obter acesso à rede.

APT21

Também conhecido como: Zhenbao

Suspeita de atribuição: China

Setores-alvo: governo

Visão geral: a APT 21 utiliza anexos estratégicos em língua russa com temas de questões de segurança nacional em documentos de isca. Historicamente, o conteúdo de engenharia social é indicativo de uma operação de espionagem cibernética que tenta obter acesso não autorizado a informações privilegiadas relativas à segurança do Estado na Rússia. Uma análise das técnicas da APT 21 sugere que outra área de foco são os grupos dissidentes que buscam maior autonomia ou independência da China, como os do Tibete ou de Xinjiang.

Malwares associados: SOGU, TEMPFUN, Gh0st, TRAVELNET, HOMEUNIX e ZEROTWO

Vetores de ataque: a APT 21 utiliza mensagens de e-mail de spear phishing com anexos maliciosos, links para arquivos maliciosos ou páginas da Web. O grupo também usa comprometimentos estratégicos da Web (SWCs) para visar possíveis vítimas. A APT 21 frequentemente usa dois backdoors conhecidos como TRAVELNET e TEMPFUN. Uma informação significativa é que a APT 21 usa em geral backdoors personalizados, e raramente usa ferramentas disponíveis publicamente.

APT20

Também conhecido como: Twivy

Suspeita de atribuição: China

Setores-alvo: construção e engenharia, assistência médica, organizações sem fins lucrativos, base industrial de defesa e empresas de produção e pesquisa química.

Visão geral: a APT 20 se envolve em operações cibernéticas com o objetivo de roubar dados. A APT 20 rouba propriedade intelectual, mas também parece interessada em roubar dados ou monitorar as atividades de indivíduos com interesses políticos específicos. Com base nos dados disponíveis, avaliamos que se trata de um grupo de freelancers com patrocínio de algum Estado-nação localizado na China.

Malwares associados: QIAC, SOGU, Gh0st, ZXSHELL, Poison Ivy, BEACON, HOMEUNIX e STEW

Vetores de ataque: o uso de comprometimentos estratégicos da Web pela APT 20 fornece informações sobre um segundo conjunto de possíveis alvos. Muitos dos SWCs da APT 20 foram hospedados em sites (incluindo em chinês) que tratam de questões como democracia, direitos humanos, liberdade de imprensa, minorias étnicas na China e outras questões.

APT19

Também conhecida como "Codoso Team"

Suspeita de atribuição: China

Setores-alvo: jurídico e de investimento

Visão geral: um grupo provavelmente composto por freelancers, com algum grau de patrocínio do governo chinês.

Malwares associados: BEACON e COBALTSTRIKE

Vetores de ataque: em 2017, a APT 19 usou três técnicas diferentes para tentar comprometer os alvos. No início de maio, as iscas de phishing utilizaram anexos RTF que exploravam a vulnerabilidade do Microsoft Windows descrita no CVE 2017-0199. No final de maio, a APT 19 passou a usar documentos do Microsoft Excel (XLSM) habilitados para macros. Nas versões mais recentes, o APT 19 adicionou um desvio da lista de permissões de aplicativos aos documentos XLSM. Pelo menos uma isca de phishing observada entregou um payload do Cobalt Strike.

APT18

Também conhecida como "Wekby"

Suspeita de atribuição: China

Setores-alvo: aeroespacial e defesa, construção e engenharia, educação, saúde e biotecnologia, alta tecnologia, telecomunicações e transporte

Visão geral: muito pouco foi divulgado publicamente sobre este grupo.

Malware associado: Gh0st RAT

Vetores de ataque: exploits de dia zero frequentemente desenvolvidos ou adaptados para operações, que provavelmente foram planejados com antecedência. O grupo usou dados do vazamento da Hacking Team, o que demonstra como ele é capaz de deslocar recursos (como selecionar alvos, preparar a infraestrutura, elaborar mensagens, atualizar ferramentas etc.) para aproveitar oportunidades inesperadas, como exploits recém-expostos.

Recursos adicionais: blog – Demonstrando agitação, grupos chineses de APT usam rapidamente vulnerabilidade de dia zero (CVE-2015-5119) após o vazamento feito por uma equipe de hackers

APT17

Também conhecida como "Tailgator Team" e "Deputy Dog"

Suspeita de atribuição: China

Setores-alvo: governo dos EUA, escritórios de advocacia internacionais e empresas de tecnologia da informação

Visão geral: realiza invasões de rede nas organizações visadas.

Malware associado: BLACKCOFFEE

Vetores de ataque: o grupo de ameaças aproveitou-se da capacidade de criar perfis e postar em fóruns para incorporar CnC codificado para uso com uma variante do malware utilizado. Essa técnica pode dificultar a determinação da localização real do CnC por profissionais de segurança de rede e permite que a infraestrutura do CnC permaneça ativa por um período maior.

APT16

Suspeita de atribuição: China

Setores-alvo: organizações japonesas e taiwanesas dos setores de alta tecnologia, serviços governamentais, mídia e serviços financeiros

Visão geral: grupo com sede na China preocupado com questões políticas e jornalísticas de Taiwan.

Malwares associados: IRONHALO e ELMER

Vetores de ataque: e-mails de spear phishing enviados para organizações de mídia de Taiwan e endereços de webmail. Os documentos de isca continham instruções para o registro e a listagem subsequente de produtos em um site de leilão de Taiwan.

APT15

Suspeita de atribuição: China

Setores-alvo: alvos globais nos setores comercial, econômico e financeiro, de energia e militar em apoio aos interesses do governo chinês.

Visão geral: a APT 15 tem como alvo organizações com sede em vários locais, incluindo vários países europeus, EUA e África do Sul. Os operadores da APT 15 compartilham recursos, incluindo backdoors e infraestruturas, com outras APTs chinesas.

Malwares associados: ENFAL, BALDEAGLE, NOISEMAKER e MIRAGE

Vetores de ataque: em geral, a APT 15 usa e-mails de spear phishing bem desenvolvidos para comprometimento inicial contra alvos globais em vários setores que são de interesse do governo chinês. Uma informação significativa é que a APT 15 utiliza backdoors e infraestruturas que não são exclusivos do grupo, o que torna a atribuição um desafio.

APT14

Suspeita de atribuição: China

Setores-alvo: governo, telecomunicações e construção e engenharia

Visão geral: a APT 14 se envolve em operações cibernéticas com o objetivo de roubar dados, com possível foco em equipamentos, operações e políticas militares e marítimas. Acreditamos que os dados roubados, em especial as especificações de criptografia e dos equipamentos de comunicação por satélite, podem ser usados para melhorar operações militares, como interceptar sinais ou interferir de outra forma nas redes militares de comunicação por satélite.

Malwares associados: Gh0st, POISONIVY, CLUBSEAT e GROOVY

Vetores de ataque: os agentes de ameaças da APT 14 não costumam usar exploits de dia zero, mas podem utilizá-los assim que eles se tornam públicos. Eles podem utilizar uma ferramenta de mala direta SMTP personalizada para enviar suas mensagens de spear phishing. As mensagens de phishing da APT 14 são muitas vezes elaboradas para parecerem originárias de organizações confiáveis.

APT12

Também conhecida como "Calc Team"

Suspeita de atribuição: China

Setores-alvo: jornalistas, governo, base industrial de defesa

Visão geral: acredita-se que a APT 12 seja um grupo de espionagem cibernética supostamente vinculado ao Exército de Libertação Popular da China. Os alvos da APT 12 são consistentes com objetivos maiores da República Popular da China. As intrusões e campanhas realizadas por esse grupo estão alinhadas às metas da RPC e aos interesses do país na área de Taiwan.

Malwares associados: RIPTIDE, HIGHTIDE, THREBYTE e WATERSPOUT

Vetores de ataque: a Mandiant observou que a APT 12 enviava esses documentos de exploração por meio de e-mails de phishing de contas válidas, mas comprometidas. Com base nas atividades anteriores da APT 12, esperamos que o grupo de ameaça continue a utilizar o phishing como um método de distribuição de malware.

Outros recursos

APT10

Também conhecida como "Menupass Team"

Suspeita de atribuição: China

Setores-alvo: empresas de construção e engenharia e empresas aeroespaciais e de telecomunicações, além de governos nos Estados Unidos, na Europa e no Japão

Visão geral: a APT 10 é um grupo de espionagem cibernética chinês que a Mandiant monitora desde 2009. Historicamente, ela tem como alvo empresas de construção e engenharia, empresas aeroespaciais e de telecomunicações, além de governos nos Estados Unidos, na Europa e no Japão. Acreditamos que o ataque a esses setores tem como objetivo apoiar os objetivos de segurança nacional chineses, incluindo a aquisição de informações de inteligência e militares valiosas, bem como de dados confidenciais de negócios para apoiar as corporações chinesas.

Malwares associados: HAYMAKER, SNUGRIDE, BUGJUICE e QUASARRAT

Vetores de ataque: as atividades recentes da APT 10 incluem o spear phishing (ataque de phishing que persegue um único alvo) tradicional e o acesso às redes das vítimas por meio de provedores de serviços gerenciados Para saber mais sobre infecções por meio de provedores de serviços, consulte o relatório M-trends de 2016. Os ataques de spear phishing da APT 10 são relativamente pouco sofisticados e utilizam arquivos .lnk dentro de outros arquivos, arquivos com extensões duplas (como [Encoberto]_Group_Meeting_Document_20170222_doc_.exe) e, em alguns casos, simplesmente documentos chamariz com nomes idênticos e inicializadores maliciosos no mesmo arquivo. Além dos ataques de spear phishing, a Mandiant Threat Intelligence também observou a APT 10 acessando vítimas por meio de provedores de serviços globais.

Outros recursos

Outros recursos

APT9

Suspeita de atribuição: com base nos dados disponíveis, avaliamos que este é um grupo de freelancers com patrocínio de algum país, possivelmente a China.

Setores-alvo: organizações com sede em vários países de setores como saúde e farmacêutico, construção e engenharia, e aeroespacial e defesa.

Visão geral: a APT 9 se envolve em operações cibernéticas com o objetivo de roubar dados, em geral com foco em dados e projetos que tornam uma determinada organização competitiva em sua área.

Malwares associados: SOGU, HOMEUNIX, PHOTO, FUNRUN, Gh0st e ZXSHEL

Vetores de ataque: a APT 9 foi historicamente muito ativa no setor farmacêutico e de biotecnologia. Observamos que esse agente usa ataques de spear phishing, contas válidas e serviços remotos para acesso inicial. Em pelo menos uma ocasião, a Mandiant observou a APT 9 em duas empresas do setor de biotecnologia e suspeita que agentes da APT 9 possam ter obtido acesso inicial a uma delas devido a uma relação confiável entre as duas. A APT 9 usa uma ampla variedade de backdoors, incluindo backdoors publicamente disponíveis e backdoors que provavelmente são personalizados, mas são usados por vários grupos de APTs.

APT 8

Suspeita de atribuição: China

Setores-alvo: uma ampla variedade de setores, incluindo mídia e entretenimento, construção e engenharia, aeroespacial e defesa.

Visão geral: a APT 8 se envolve em operações cibernéticas com objetivo de roubar propriedade intelectual, em geral concentrando-se em dados e projetos que tornam uma organização competitiva em seu campo. Avaliamos que esse é um grupo de freelancers localizado na China com patrocínio de algum país. A APT 8 tem como alvo organizações com sede em vários países, como EUA, Alemanha, Reino Unido, Índia e Japão.

Malwares associados: HASH, FLYZAP, GOLFPRO e SAFEPUTT

Vetores de ataque: os agentes da APT 8 costumam usar mensagens de e-mail de ataques de spear phishing com anexos ou links maliciosos ou explorar servidores da Web vulneráveis voltados à Internet para comprometer as organizações-alvo. Além disso, em várias invasões, os agentes da APT 8 enviaram links maliciosos para possíveis vítimas por meio de chat ou programas de mensagens instantâneas.

APT 7

Suspeita de atribuição: China

Setores-alvo: construção, engenharia, aeroespacial e base industrial de defesa

Visão geral: a APT 7 se envolve em operações cibernéticas com objetivo de roubar propriedade intelectual, em geral concentrando-se em dados e projetos que tornam uma organização competitiva em seu campo. Esse grupo é conhecido por ter como alvo organizações com sede nos EUA e no Reino Unido.

Malwares associados: DIGDUG e TRACKS

Vetores de ataque: os agentes das ameaças APT 7 usaram o acesso a uma organização para se infiltrar em outra sob a mesma empresa controladora. Esta é uma forma de movimentação lateral, mas neste caso também foi o método de comprometimento inicial para a segunda organização.

APT6

Suspeita de atribuição: China

Setores-alvo: transporte, automotivo, construção e engenharia, telecomunicações, eletrônico e materiais

Visão geral: a APT 6 se envolve em operações cibernéticas com objetivo de roubar propriedade intelectual, provavelmente dados e projetos que tornam uma organização competitiva em seu campo. A APT 6 teve como alvo organizações com sede nos EUA e no Reino Unido.

Malwares associados: BELUGA, EXCHAIN e PUPTENT

Vetores de ataque: a APT 6 utiliza vários backdoors personalizados, incluindo alguns usados por outros grupos de APTs, bem como aqueles que são exclusivos do próprio grupo.

APT 5

Suspeita de atribuição: China

Setores-alvo: provedores regionais de telecomunicações, funcionários da Ásia de empresas globais de telecomunicações e tecnologia, fabricação de tecnologias avançadas e tecnologia de aplicativos militares nos EUA, na Europa e na Ásia.

Visão geral: a APT 5 está ativa no mínimo desde 2007. A APT 5 já teve como alvo ou já violou organizações de vários setores, mas seu foco parece estar nas empresas de telecomunicações e tecnologia, em especial em informações sobre comunicações por satélite. Já em 2014, a Mandiant Incident Response descobriu que a APT 5 fazia modificações não autorizadas no código de arquivos no sistema operacional incorporado de outra plataforma de tecnologia. Em 2015, a APT 5 comprometeu uma organização de telecomunicações dos EUA que fornece serviços e tecnologias para entidades privadas e governamentais. Durante essa invasão, os agentes baixaram e modificaram algumas das imagens de roteador relacionadas aos roteadores de rede da empresa. Também durante esse período, a APT 5 roubou arquivos relacionados à tecnologia militar de uma organização de defesa do sul da Ásia. Os nomes de arquivos observados sugerem que os agentes estavam interessados em especificações de produtos, e-mails sobre produtos técnicos, propostas e licitações de compras e documentos sobre veículos aéreos não tripulados (UAVs).

Malwares associados: BRIGHTCREST, SWEETCOLA, SPIRITBOX, PALEJAB, WIDERIM, WINVAULT, HAPPYSAD, BIRDWORLD, FARCRY, CYFREE, FULLSILO, HELLOTHEWORLD, HAZELNUT, GIF89A, SCREENBIND, SHINYFUR, TRUCKBED, LEOUNCIA, FREESWIM, PULLTAB, HIREDHELP, NEDDYHORSE, PITCHFORK, BRIGHTCOMB, ENCORE, TABCTENG, SHORTLEASH, CLEANACT, BRIGHTCYAN, DANCEPARTY, HALFBACK, PUSHBACK, COOLWHIP, LOWBID, TIGHTROPE, DIRTYWORD, AURIGA, KEYFANG e Poison Ivy

Vetores de ataque: parece ser um grande grupo de ameaças que consiste em vários subgrupos, muitas vezes com táticas e infraestruturas distintas. O grupo usa malwares com recursos de keylogging (gravação de pressionamentos de teclas) para visar especificamente redes corporativas, funcionários e executivos de empresas de telecomunicações. A APT 5 demonstrou interesse significativo em comprometer dispositivos de rede e manipular os softwares subjacentes que dão suporte a eles.

APT 4

Também conhecido como: Maverick Panda, Sykipot Group e Wisp

Suspeita de atribuição: China

Setores-alvo: aeroespacial e defesa, engenharia industrial, eletrônicos, automotivo, governamental, telecomunicações e transportes

Visão geral: a APT 4 parece ter como alvo a base industrial de defesa (DIB) com uma frequência maior do que outras organizações comerciais. No entanto, o grupo tem um histórico amplo de invasões direcionadas.

Malwares associados: GETKYS, LIFESAVER, CCHIP, SHYLILT, SWEETTOOTH, PHOTO e SOGO

Vetores de ataque: os agentes da APT 4 muitas vezes utilizam mensagens com ataques de spear phishing que usam temas do governo dos EUA, do Departamento de Defesa ou da base industrial de defesa. Os agentes da APT 4 podem reaproveitar conteúdos válidos de sites do governo ou do Departamento de Defesa dos EUA nos corpos de mensagens para conferir legitimidade a eles.

APT 3

Também conhecida como: UPS Team

Suspeita de atribuição: China

Setores-alvo: aeroespacial e defesa, construção e engenharia, alta tecnologia, telecomunicações e transportes

Visão geral: o grupo de ameaças com sede na China que a Mandiant monitora como APT 3 é um dos grupos de ameaças mais sofisticados monitorado pela Mandiant Threat Intelligence, tendo um histórico de uso de exploits baseados em navegador como dia zero (por exemplo, Internet Explorer, Firefox e Adobe Flash Player). Depois de explorar com sucesso um host de destino, esse grupo despeja rapidamente as credenciais, move-se lateralmente para hosts adicionais e instala backdoors personalizados. A infraestrutura de comando e controle (CnC) da APT 3 é difícil de rastrear, porque há pouca sobreposição entre as campanhas.

Malwares associados: SHOTPUT, COOKIECUTTER e SOGU

Vetores de ataque: os e-mails de phishing usados pela APT 3 são geralmente de natureza genérica, quase parecendo spam. Os ataques exploraram uma vulnerabilidade não corrigida na forma como o Adobe Flash Player analisa arquivos Flash Video (FLV). O exploit usa técnicas comuns de corrupção de vetores para contornar a Address Space Layout Randomization (ASLR) e usa a programação orientada ao retorno (ROP) para contornar a Data Execution Prevention (DEP). Um truque interessante da técnica de ROP do grupo facilita a exploração e evita algumas técnicas de detecção de ROP. O código shell é armazenado no arquivo de exploit do Adobe Flash Player e é empacotado com uma chave que é usada para a descriptografia. O payload é codificado em xor e fica escondido em uma imagem.

Outros recursos

Outros recursos

APT 2

Suspeita de atribuição: China

Setores-alvo: militar e aeroespacial

Visão geral: este grupo foi observado pela primeira vez em 2010. A APT 2 se envolve em operações cibernéticas com objetivo de roubar propriedade intelectual, em geral concentrando-se em dados e projetos que tornam uma organização competitiva em seu campo.

Malwares associados: MOOSE e WARP

Vetores de ataque: e-mails de spear phishing que exploram o CVE-2012-0158.

APT 30

Suspeita de atribuição: China

Setores-alvo: membros da Associação de Nações do Sudeste Asiático (ASEAN)

Visão geral: a APT 30 é conhecida não apenas pela atividade sustentada durante um longo período de tempo, mas também por modificar e adaptar com sucesso o código-fonte para manter as mesmas ferramentas, táticas e infraestruturas desde pelo menos 2005. As evidências mostram que o grupo prioriza alvos, muito provavelmente trabalha em turnos em um ambiente colaborativo e cria malwares com base em um plano de desenvolvimento coerente. O grupo consegue infectar redes isoladas desde 2005.

Malwares associados: SHIPSHAPE, SPACESHIP e FLASHFLOOD

Vetores de ataque: a APT 30 usa um conjunto de ferramentas que inclui downloaders, backdoors, um controlador central e vários componentes projetados para infectar unidades removíveis e redes cruzadas com isolamento térmico para roubar dados. A APT 30 frequentemente registra os próprios domínios DNS para atividades de CnC de malware.

APT 27

Suspeita de atribuição: China

Setores-alvo: a APT 27 tem como alvo várias organizações com sede em todo o mundo, incluindo América do Norte e do Sul, Europa e Oriente Médio. Essas organizações se enquadram em uma série de setores diferentes, incluindo serviços comerciais, alta tecnologia, governo e energia. No entanto, um número notável delas está nos setores aeroespacial e de transportes ou viagens.

Visão geral: a APT 27 se envolve em operações cibernéticas com o objetivo de roubar propriedade intelectual, em geral com foco em dados e projetos que tornam uma determinada organização competitiva em seu campo.

Malwares associados: PANDORA, SOGU, ZXSHELL, GHOST, WIDEBERTH, QUICKPULSE e FLOWERPOT

Vetores de ataque: a APT 27 utiliza frequentemente ataques de spear phishing como método de comprometimento inicial. Os agentes de ameaças da APT 27 não são conhecidos por usar exploits originais de dia zero, mas podem utilizá-los assim que eles se tornam públicos. Em pelo menos um caso, os agentes da APT 27 usaram uma conta comprometida em uma organização vítima para enviar um e-mail de spear phishing a outras vítimas em setores semelhantes. Além disso, a APT 27 pode comprometer aplicativos da Web vulneráveis para obter uma posição inicial.

APT 26

Suspeita de atribuição: China

Setores-alvo: aeroespacial, defesa e energia, entre outros

Visão geral: a APT 26 se envolve em operações cibernéticas com o objetivo de roubar propriedade intelectual, em geral com foco em dados e projetos que tornam uma determinada organização competitiva em seu campo.

Malwares associados: SOGU, HTRAN, POSTSIZE, TWOCHAINS e BEACON

Vetores de ataque: o grupo usa comprometimentos estratégicos da Web com frequência para conseguir acesso às redes visadas, e backdoors personalizados depois de entrar no ambiente da vítima.

APT 25

Também conhecida como: Uncool, Vixen Panda, Ke3chang, Sushi Roll e Tor

Suspeita de atribuição: China

Setores-alvo: base industrial de defesa, mídia, serviços financeiros e setores de transporte nos EUA e na Europa.

Visão geral: a APT 25 se envolve em operações cibernéticas com o objetivo de roubar dados.

Malwares associados: LINGBO, PLAYWORK, MADWOFL, MIRAGE, TOUGHROW, TOYSNAKE e SABERTOOTH

Vetores de ataque: historicamente, a APT 25 usa ataques de spear phishing em suas operações, incluindo mensagens com anexos e hiperlinks maliciosos. Em geral, os agentes de ameaças da APT 25 não usam exploits de dia zero, mas podem utilizá-los assim que eles se tornam públicos.

APT 24

Também conhecido como: PittyTiger

Suspeita de atribuição: China

Setores-alvo: a APT 24 tem como alvo uma ampla variedade de setores, incluindo organizações nos setores governamental, de saúde, de construção e engenharia, de mineração, organizações sem fins lucrativos e empresas de telecomunicações.

Visão geral: o grupo é conhecido por ter como alvo organizações com sede em países como os EUA e Taiwan. Historicamente, a APT 24 usa o utilitário de arquivamento RAR para criptografar e compactar dados roubados antes de transferi-los para fora da rede. O roubo de dados exfiltrados desse agente tem como foco principal documentos com importância política, o que sugere que a intenção é monitorar as posições de vários países em relação a questões aplicáveis à disputa territorial ou à soberania atual da China.

Malwares associados: PITTYTIGER, ENFAL e TAIDOOR

Vetores de ataque: a APT 24 usa e-mails de phishing com temas militares, de energia renovável ou de estratégia comercial como iscas. Além disso, a APT 24 se envolve em operações cibernéticas com o objetivo de roubar propriedade intelectual, em geral com foco em dados e projetos que tornam uma determinada organização competitiva em seu campo.

APT 23

Suspeita de atribuição: China

Setores-alvo: mídia e governo nos EUA e nas Filipinas

Visão geral: a APT 23 roubou informações de importância política e militar, em vez de propriedade intelectual. Isso sugere que o grupo pode realizar o roubo de dados em apoio a operações de espionagem mais tradicionais.

Malware associado: NONGMIN

Vetores de ataque: a APT 23 usou mensagens de spear phishing para comprometer as redes das vítimas, incluindo iscas de phishing relacionadas à educação. Os agentes da APT 23 não são conhecidos por usar exploits de dia zero, mas podem utilizá-los assim que eles se tornam públicos.

APT 12

Também conhecida como "Calc Team"

Suspeita de atribuição: China

Setores-alvo: jornalistas, governo, base industrial de defesa

Visão geral: acredita-se que a APT 12 seja um grupo de espionagem cibernética supostamente vinculado ao Exército de Libertação Popular da China. Os alvos da APT 12 são consistentes com objetivos maiores da República Popular da China. As intrusões e campanhas realizadas por esse grupo estão alinhadas às metas da RPC e aos interesses do país na área de Taiwan.

Malwares associados: RIPTIDE, HIGHTIDE, THREBYTE e WATERSPOUT

Vetores de ataque: a Mandiant observou que a APT 12 enviava esses documentos de exploit por meio de e-mails de phishing de contas válidas comprometidas. Com base nas atividades anteriores da APT 12, esperamos que o grupo de ameaça continue a utilizar o phishing como um método de distribuição de malware.

Outros recursos

APT 10

Também conhecida como "Menupass Team"

Suspeita de atribuição: China

Setores-alvo: empresas de construção e engenharia e empresas aeroespaciais e de telecomunicações, além de governos nos Estados Unidos, na Europa e no Japão

Visão geral: a APT 10 é um grupo de espionagem cibernética chinês que a Mandiant monitora desde 2009. Historicamente, ela tem como alvo empresas de construção e engenharia, empresas aeroespaciais e de telecomunicações, além de governos nos Estados Unidos, na Europa e no Japão. Acreditamos que o ataque a esses setores tem como objetivo apoiar os objetivos de segurança nacional chineses, incluindo a aquisição de informações de inteligência e militares valiosas, bem como de dados confidenciais de negócios para apoiar as corporações chinesas.

Malwares associados: HAYMAKER, SNUGRIDE, BUGJUICE e QUASARRAT

Vetores de ataque: as atividades recentes da APT 10 incluem o spear phishing (ataque de phishing que persegue um único alvo) tradicional e o acesso às redes das vítimas por meio de provedores de serviços gerenciados Para saber mais sobre infecções por meio de provedores de serviços, consulte o relatório M-trends de 2016. Os ataques de spear phishing da APT 10 são relativamente pouco sofisticados e utilizam arquivos .lnk dentro de outros arquivos, arquivos com extensões duplas (como [Encoberto]_Group_Meeting_Document_20170222_doc_.exe) e, em alguns casos, simplesmente documentos chamariz com nomes idênticos e inicializadores maliciosos no mesmo arquivo. Além dos ataques de spear phishing, a Mandiant Threat Intelligence também observou a APT 10 acessando vítimas por meio de provedores de serviços globais.

Outros recursos

Outros recursos

APT 9

Suspeita de atribuição: com base nos dados disponíveis, avaliamos que este é um grupo de freelancers com patrocínio de algum país, possivelmente a China.

Setores-alvo: organizações com sede em vários países de setores como saúde e farmacêutico, construção e engenharia, e aeroespacial e defesa.

Visão geral: a APT 9 se envolve em operações cibernéticas com o objetivo de roubar dados, em geral com foco em dados e projetos que tornam uma determinada organização competitiva em sua área.

Malwares associados: SOGU, HOMEUNIX, PHOTO, FUNRUN, Gh0st e ZXSHEL

Vetores de ataque: a APT 9 foi historicamente muito ativa no setor farmacêutico e de biotecnologia. Observamos que esse agente usa ataques de spear phishing, contas válidas e serviços remotos para acesso inicial. Em pelo menos uma ocasião, a Mandiant observou a APT 9 em duas empresas do setor de biotecnologia e suspeita que agentes da APT 9 possam ter obtido acesso inicial a uma delas devido a uma relação confiável entre as duas. A APT 9 usa uma ampla variedade de backdoors, incluindo backdoors publicamente disponíveis e backdoors que provavelmente são personalizados, mas são usados por vários grupos de APTs.

APT 8

Suspeita de atribuição: China

Setores-alvo: uma ampla variedade de setores, incluindo mídia e entretenimento, construção e engenharia, aeroespacial e defesa.

Visão geral: a APT 8 se envolve em operações cibernéticas com objetivo de roubar propriedade intelectual, em geral concentrando-se em dados e projetos que tornam uma organização competitiva em seu campo. Avaliamos que esse é um grupo de freelancers localizado na China com patrocínio de algum país. A APT 8 tem como alvo organizações com sede em vários países, como EUA, Alemanha, Reino Unido, Índia e Japão.

Malwares associados: HASH, FLYZAP, GOLFPRO e SAFEPUTT

Vetores de ataque: os agentes da APT 8 costumam usar mensagens de e-mail de ataques de spear phishing com anexos ou links maliciosos ou explorar servidores da Web vulneráveis voltados à Internet para comprometer as organizações-alvo. Além disso, em várias invasões, os agentes da APT 8 enviaram links maliciosos para possíveis vítimas por meio de chat ou programas de mensagens instantâneas.

APT 7

Suspeita de atribuição: China

Setores-alvo: construção, engenharia, aeroespacial e base industrial de defesa

Visão geral: a APT 7 se envolve em operações cibernéticas com objetivo de roubar propriedade intelectual, em geral concentrando-se em dados e projetos que tornam uma organização competitiva em seu campo. Esse grupo é conhecido por ter como alvo organizações com sede nos EUA e no Reino Unido.

Malwares associados: DIGDUG e TRACKS

Vetores de ataque: os agentes das ameaças APT 7 usaram o acesso a uma organização para se infiltrar em outra sob a mesma empresa controladora. Esta é uma forma de movimentação lateral, mas neste caso também foi o método de comprometimento inicial para a segunda organização.

APT 6

Suspeita de atribuição: China

Setores-alvo: transporte, automotivo, construção e engenharia, telecomunicações, eletrônico e materiais

Visão geral: a APT 6 se envolve em operações cibernéticas com objetivo de roubar propriedade intelectual, provavelmente dados e projetos que tornam uma organização competitiva em seu campo. A APT 6 teve como alvo organizações com sede nos EUA e no Reino Unido.

Malwares associados: BELUGA, EXCHAIN e PUPTENT

Vetores de ataque: a APT 6 utiliza vários backdoors personalizados, incluindo alguns usados por outros grupos de APTs, bem como aqueles que são exclusivos do próprio grupo.

APT 5

Suspeita de atribuição: China

Setores-alvo: provedores regionais de telecomunicações, funcionários da Ásia de empresas globais de telecomunicações e tecnologia, fabricação de tecnologias avançadas e tecnologia de aplicativos militares nos EUA, na Europa e na Ásia.

Visão geral: a APT 5 está ativa no mínimo desde 2007. A APT 5 já teve como alvo ou já violou organizações de vários setores, mas seu foco parece estar nas empresas de telecomunicações e tecnologia, em especial em informações sobre comunicações por satélite. Já em 2014, a Mandiant Incident Response descobriu que a APT 5 fazia modificações não autorizadas no código de arquivos no sistema operacional incorporado de outra plataforma de tecnologia. Em 2015, a APT 5 comprometeu uma organização de telecomunicações dos EUA que fornece serviços e tecnologias para entidades privadas e governamentais. Durante essa invasão, os agentes baixaram e modificaram algumas das imagens de roteador relacionadas aos roteadores de rede da empresa. Também durante esse período, a APT 5 roubou arquivos relacionados à tecnologia militar de uma organização de defesa do sul da Ásia. Os nomes de arquivos observados sugerem que os agentes estavam interessados em especificações de produtos, e-mails sobre produtos técnicos, propostas e licitações de compras e documentos sobre veículos aéreos não tripulados (UAVs).

Malwares associados: BRIGHTCREST, SWEETCOLA, SPIRITBOX, PALEJAB, WIDERIM, WINVAULT, HAPPYSAD, BIRDWORLD, FARCRY, CYFREE, FULLSILO, HELLOTHEWORLD, HAZELNUT, GIF89A, SCREENBIND, SHINYFUR, TRUCKBED, LEOUNCIA, FREESWIM, PULLTAB, HIREDHELP, NEDDYHORSE, PITCHFORK, BRIGHTCOMB, ENCORE, TABCTENG, SHORTLEASH, CLEANACT, BRIGHTCYAN, DANCEPARTY, HALFBACK, PUSHBACK, COOLWHIP, LOWBID, TIGHTROPE, DIRTYWORD, AURIGA, KEYFANG e Poison Ivy

Vetores de ataque: parece ser um grande grupo de ameaças que consiste em vários subgrupos, muitas vezes com táticas e infraestruturas distintas. O grupo usa malwares com recursos de keylogging (gravação de pressionamentos de teclas) para visar especificamente redes corporativas, funcionários e executivos de empresas de telecomunicações. A APT 5 demonstrou interesse significativo em comprometer dispositivos de rede e manipular os softwares subjacentes que dão suporte a eles.

APT 4

Também conhecido como: Maverick Panda, Sykipot Group e Wisp

Suspeita de atribuição: China

Setores-alvo: aeroespacial e defesa, engenharia industrial, eletrônicos, automotivo, governamental, telecomunicações e transportes

Visão geral: a APT 4 parece ter como alvo a base industrial de defesa (DIB) com uma frequência maior do que outras organizações comerciais. No entanto, o grupo tem um histórico amplo de invasões direcionadas.

Malwares associados: GETKYS, LIFESAVER, CCHIP, SHYLILT, SWEETTOOTH, PHOTO e SOGO

Vetores de ataque: os agentes da APT 4 muitas vezes utilizam mensagens com ataques de spear phishing que usam temas do governo dos EUA, do Departamento de Defesa ou da base industrial de defesa. Os agentes da APT 4 podem reaproveitar conteúdos válidos de sites do governo ou do Departamento de Defesa dos EUA nos corpos de mensagens para conferir legitimidade a eles.

APT 3

Também conhecida como: UPS Team

Suspeita de atribuição: China

Setores-alvo: aeroespacial e defesa, construção e engenharia, alta tecnologia, telecomunicações e transportes

Visão geral: o grupo de ameaças com sede na China que a Mandiant monitora como APT 3 é um dos grupos de ameaças mais sofisticados monitorado pela Mandiant Threat Intelligence, tendo um histórico de uso de exploits baseados em navegador como dia zero (por exemplo, Internet Explorer, Firefox e Adobe Flash Player). Depois de explorar com sucesso um host de destino, esse grupo despeja rapidamente as credenciais, move-se lateralmente para hosts adicionais e instala backdoors personalizados. A infraestrutura de comando e controle (CnC) da APT 3 é difícil de rastrear, porque há pouca sobreposição entre as campanhas.

Malwares associados: SHOTPUT, COOKIECUTTER e SOGU

Vetores de ataque: os e-mails de phishing usados pela APT 3 são geralmente de natureza genérica, quase parecendo spam. Os ataques exploraram uma vulnerabilidade não corrigida na forma como o Adobe Flash Player analisa arquivos Flash Video (FLV). O exploit usa técnicas comuns de corrupção de vetores para contornar a Address Space Layout Randomization (ASLR) e usa a programação orientada ao retorno (ROP) para contornar a Data Execution Prevention (DEP). Um truque interessante da técnica de ROP do grupo facilita a exploração e evita algumas técnicas de detecção de ROP. O código shell é armazenado no arquivo de exploit do Adobe Flash Player e é empacotado com uma chave que é usada para a descriptografia. O payload é codificado em xor e fica escondido em uma imagem.

Outros recursos

Outros recursos

APT 2

Suspeita de atribuição: China

Setores-alvo: militar e aeroespacial

Visão geral: este grupo foi observado pela primeira vez em 2010. A APT 2 se envolve em operações cibernéticas com objetivo de roubar propriedade intelectual, em geral concentrando-se em dados e projetos que tornam uma organização competitiva em seu campo.

Malwares associados: MOOSE e WARP

Vetores de ataque: e-mails de spear phishing que exploram o CVE-2012-0158.

APT 1

Também conhecida como Unit 61398 e Comment Crew

Suspeita de atribuição: 3º Departamento (总参三部二局) do Departamento de Estado-Maior (GSD) do Exército de Libertação Popular da China (PLA), que é mais comumente conhecido pelo designador de cobertura da unidade militar (MUCD) como Unidade 61398 (61398部队).

Setores-alvo: tecnologia da informação, aeroespacial, administração pública, satélites e telecomunicações, pesquisa e consultoria científicas, energia, transporte, construção e manufatura, serviços de engenharia, eletrônicos de alta tecnologia, organizações internacionais, serviços jurídicos, mídia, publicidade e entretenimento, navegação, produtos químicos, serviços financeiros, alimentos e agricultura, saúde, metais e mineração, e educação

Visão geral: a APT 1 roubou sistematicamente centenas de terabytes de dados de pelo menos 141 organizações e demonstrou a capacidade e a intenção de roubar dezenas de organizações simultaneamente. O grupo se concentra no comprometimento de organizações em uma ampla gama de setores em países de língua inglesa. O tamanho da infraestrutura do APT 1 implica uma grande organização com pelo menos dezenas, mas possivelmente centenas, de operadores humanos.

Malwares associados: TROJAN.ECLTYS, BACKDOOR.BARKIOFORK, BACKDOOR.WAKEMINAP, TROJAN.DOWNBOT, BACKDOOR.DALBOT, BACKDOOR.REVIRD, TROJAN.BADNAME e BACKDOOR.WUALESS

Vetores de ataque: o método de comprometimento inicial mais observado é o spear phishing. Os e-mails de spear phishing contêm um anexo malicioso ou um hiperlink para um arquivo malicioso. A linha de assunto e o texto no corpo do e-mail geralmente são relevantes para o destinatário. A APT 1 também cria contas de webmail usando nomes de pessoas reais. Embora os invasores da APT 1 ocasionalmente usem backdoors disponíveis publicamente, como Poison Ivy e Gh0st RAT, na grande maioria das vezes eles usam o que parecem ser backdoors personalizados próprios. Durante a permanência na rede (que pode levar anos), a APT 1 geralmente instala novos backdoors à medida que conquista mais sistemas no ambiente. Portanto, se um backdoor for descoberto e excluído, o grupo ainda terá outros que podem ser usados. Em geral, é possível detectar vários tipos de backdoors da APT 1 espalhados pela rede da vítima quando o grupo está presente por mais de algumas semanas.

APT43

Suspeita de atribuição: Coreia do Norte

Setores-alvo: o APT43 está intimamente alinhado aos interesses do Estado e está fortemente correlacionado com os desenvolvimentos geopolíticos que afetam Kim Jong-un. O grupo realiza atividades de espionagem contra organizações sul-coreanas e dos EUA. Em 2021, os interesses mudaram para a área de saúde em resposta à pandemia da COVID-19.

Visão geral: o APT43 é um operador cibernético prolífico que apoia os interesses do regime norte-coreano. O grupo combina recursos técnicos moderadamente sofisticados com táticas agressivas de engenharia social, especialmente contra organizações governamentais sul-coreanas e dos EUA, acadêmicos e grupos de reflexão focados em questões geopolíticas da península coreana. Além das campanhas de espionagem, acreditamos que o APT43 se financia por meio de operações de crime cibernético para apoiar sua missão principal de coletar inteligência estratégica. O APT43 colaborou com outros operadores de espionagem norte-coreanos em várias operações, o que destaca o papel importante que o grupo desempenha no aparato cibernético do regime.

Malwares associados: o grupo usa várias famílias de malware, incluindo, mas não se limitando a gh0st RAT, QUASARRAT, AMADEY, BITTERSWEET, COINTOSS e LATEOP.

Vetores de ataque: o APT43 usa campanhas de spear phishing (ataque de phishing que persegue um único alvo) para executar táticas elaboradas de engenharia social. O grupo cria várias personas falsas e fraudulentas para uso em engenharia social, além de disfarces para comprar ferramentas e infraestrutura operacionais.

Outros recursos

Outros recursos

Outros recursos

Outros recursos

APT 38

Suspeita de atribuição: Coreia do Norte

Setores-alvo: instituições financeiras em todo o mundo

Visão geral: nossa análise do grupo de ameaças apoiado pelo regime norte-coreano, que estamos chamando de APT 38, revela que ele é responsável por conduzir os maiores assaltos cibernéticos observados. Embora o APT 38 compartilhe recursos de desenvolvimento de malware e o patrocínio do governo norte-coreano com um grupo conhecido pela comunidade de segurança como "Lazarus", acreditamos que a motivação financeira, o conjunto de ferramentas exclusivo e as táticas, técnicas e procedimentos (TTPs) da APT 38 são distintos o suficiente para serem rastreados separadamente de outras atividades cibernéticas da Coreia do Norte.

Malwares associados: esse grupo grande e prolífico utiliza uma variedade de famílias de malware personalizado, incluindo backdoors, tunnelers, mineradores de dados e malwares destrutivos, para roubar milhões de dólares de instituições financeiras e tornar as redes das vítimas inoperáveis.

Vetores de ataque: a APT 38 realizou operações em mais de 16 organizações em pelo menos 11 países. Esse grupo é cuidadoso, calculista e demonstrou o desejo de manter o acesso aos ambientes das vítimas pelo tempo necessário para entender o layout da rede, as permissões necessárias e as tecnologias do sistema a fim de atingir seus objetivos. A APT 38 é única porque não tem medo de destruir agressivamente evidências ou redes de vítimas como parte de suas operações.

Outros recursos

APT 37

Suspeita de atribuição: Coreia do Norte

Setores visados: principalmente a Coreia do Sul, mas também o Japão, o Vietnã e o Oriente Médio, em vários segmentos de setor, como os de produtos químicos, eletrônicos, manufatura, aeroespacial, automotivo e de saúde.

Visão geral: nossa análise das atividades recentes da APT 37 revela que as operações do grupo estão expandindo em escopo e sofisticação, com um conjunto de ferramentas que inclui acesso a vulnerabilidades de dia zero e malware wiper. Avaliamos com alta confiança que essa atividade é realizada em nome do governo norte-coreano devido a artefatos de desenvolvimento de malware e alvos alinhados com os interesses do governo norte-coreano. A Mandiant Threat Intelligence acredita que a APT 37 esteja alinhada com as atividades relatadas publicamente como Scarcruft e Group123.

Malwares associados: um conjunto diversificado de malwares para invasão inicial e exfiltração. Além de malwares personalizados usados para fins de espionagem, a APT 37 também tem acesso a malwares destrutivos.

Vetores de ataque: táticas de engenharia social adaptadas especificamente aos alvos desejados, comprometimentos estratégicos da Web típicos de operações de espionagem cibernética direcionadas e uso de sites de compartilhamento de arquivos torrent para distribuir malware de modo mais indiscriminado. Exploração frequente de vulnerabilidades no Hangul Word Processor (HWP), bem como no Adobe Flash. O grupo demonstrou acesso a vulnerabilidades de dia zero (CVE-2018-0802) e a capacidade de incorporá-las às operações.

Outros recursos

APT42

Suspeita de atribuição: Irã

Setores de destino: o APT42 se concentra em indivíduos ou grupos que se opõem ao atual regime iraniano, tentando acessar as contas pessoais e dispositivos móveis deles. O grupo também tem como alvo constante think tanks ocidentais, pesquisadores, jornalistas, atuais funcionários de governos ocidentais, ex-funcionários do governo iraniano e a diáspora iraniana no exterior.

Visão geral: o APT42 é um grupo de espionagem cibernética patrocinado pelo Estado iraniano que tem a tarefa de conduzir operações de coleta de informações e vigilância cibernética contra indivíduos e organizações de interesse estratégico para o governo iraniano. As operações do grupo, que são projetadas para criar confiança e rapport com as vítimas, incluem o acesso a contas de e-mail pessoais e corporativas de funcionários do governo, ex-políticos ou formuladores de políticas iranianos, membros da diáspora iraniana e grupos de oposição, jornalistas e acadêmicos envolvidos em pesquisas sobre o Irã. 

Malwares associados: o grupo usa várias famílias de malware, incluindo, mas não se limitando a, TAMECAT, TABBYCAT, VBREVSHELL, POWERPOST, BROKEYOLK, CHAIRSMACK e ASYNCRAT.

Vetores de ataque: como a maioria, o APT42 depende de campanhas de phishing, mas o principal vetor de ataque é o uso de malware para dispositivos móveis, que é usado para rastrear a localização das vítimas, gravar conversas telefônicas, acessar vídeos e imagens e extrair caixas de entrada de SMS inteiras.

Outros recursos

Outros recursos

Outros recursos

Outros recursos

APT 39

Suspeita de atribuição: Irã

Setores-alvo: embora o escopo dos ataques da APT 39 seja global, suas atividades estão concentradas no Oriente Médio. A APT39 tem priorizado o setor de telecomunicações, tendo como alvo adicional o setor de viagens e as empresas de TI que o apoiam, além do setor de alta tecnologia.

Visão geral: o foco do grupo nos setores de telecomunicações e viagens sugere a intenção de realizar operações de monitoramento, rastreamento ou vigilância cibernética contra indivíduos específicos, coletar dados reservados ou de clientes para fins comerciais ou operacionais que atendam a requisitos estratégicos relacionados a prioridades nacionais ou criar acessos e vetores adicionais para facilitar campanhas futuras. A intenção do grupo de ter como alvo entidades governamentais sugere uma possível intenção secundária de coletar dados geopolíticos que podem beneficiar a tomada de decisão dos países.

Malwares associados: o grupo utiliza principalmente os backdoors SEAWEED e CACHEMONEY, além de uma variante específica do backdoor POWBAT.

Vetores de ataque: para o comprometimento inicial, a Mandiant Intelligence observou que o APT 39 usa spear phishing (ataque de phishing que persegue um único alvo) com anexos e/ou hiperlinks maliciosos, o que geralmente resulta em uma infecção por POWBAT. Em alguns casos, contas de e-mail previamente comprometidas também foram utilizadas, devido à possibilidade de abusar de confianças inerentes e aumentar as chances de um ataque bem-sucedido. A APT 39 registra e utiliza com frequência domínios que se disfarçam como organizações e serviços da Web legítimos que são relevantes para o alvo pretendido. Além disso, esse grupo identifica e explora rotineiramente servidores da Web vulneráveis de organizações visadas para instalar shells da web, como ANTAK e ASPXSPY, e usou credenciais legítimas roubadas para comprometer recursos externos do Outlook Web Access (OWA). Não observamos a exploração de vulnerabilidades pela APT 39.

Outros recursos

APT 34

Suspeita de atribuição: Irã

Setores-alvo: este grupo de ameaças já visou amplamente uma variedade de setores, como financeiro, governamental, de energia, de produtos químicos e de telecomunicações, além de ter concentrado suas operações principalmente no Oriente Médio.

Visão geral: acreditamos que a APT 34 está envolvida em uma operação de espionagem cibernética de longo prazo, com foco principal em esforços de reconhecimento para beneficiar os interesses do Irã, estando em operação desde pelo menos 2014. Avaliamos que a APT 34 trabalha em nome do governo iraniano com base em detalhes de infraestrutura que contêm referências ao Irã, ao uso da infraestrutura iraniana e a direcionamentos alinhados aos interesses do país.

Malwares associados: POWBAT, POWRUNER e BONDUPDATER

Vetores de ataque: em sua campanha mais recente, a APT 34 utilizou a nova vulnerabilidade CVE-2017-11882 do Microsoft Office para implantar POWRUNER e BONDUPDATER.

Outros recursos

APT 33

Suspeita de atribuição: Irã

Setores-alvo: aeroespacial e energia

Visão geral: a APT33 tem como alvo organizações que atuam em vários setores, com sede nos EUA, na Arábia Saudita e na Coreia do Sul. A APT 33 demonstrou interesse particular em organizações do setor de aviação envolvidas em capacidades militares e comerciais, bem como organizações no setor de energia relacionadas à produção petroquímica.

Malwares associados: SHAPESHIFT, DROPSHOT, TURNEDUP, NANOCORE, NETWIRE e ALFA Shell

Vetores de ataque: a APT 33 enviou e-mails de spear phishing para funcionários com cargos relacionados ao setor de aviação. Esses e-mails incluíam iscas com tema de recrutamento e links para arquivos de aplicativos HTML (.hta) maliciosos. Os arquivos .hta continham descrições de cargos e links para anúncios de empregos legítimos em sites de empregos populares que seriam relevantes para os indivíduos visados.

Outros recursos

APT 28

Também conhecida como "Tsar Team"

Suspeita de atribuição: governo russo

Setores visados: o Cáucaso, em particular a Geórgia, as forças armadas e países do leste europeu, a Organização do Tratado do Atlântico Norte (OTAN) e outras organizações de segurança e defesa europeias.

Visão geral: a APT 28 é uma equipe habilidosa de desenvolvedores e operadores que coleta inteligência sobre defesa e questões geopolíticas. Esse tipo de inteligência é útil apenas para governos. Esse grupo de APT compila amostras de malware com configurações em idioma russo durante o horário comercial (das 8h às 18h), o que consiste com o fuso horário das principais cidades da Rússia, incluindo Moscou e São Petersburgo. Isso sugere que a APT 28 recebe recursos financeiros e outros recursos diretos e contínuos de uma organização bem estabelecida, muito provavelmente o governo russo.

Malwares associados: CHOPSTICK e SOURFACE

Vetores de ataque: as ferramentas comumente usadas pela APT 28 incluem o downloader SOURFACE, seu backdoor EVILTOSS de segundo estágio e uma família modular de implantes chamada CHOPSTICK. A APT 28 empregou a criptografia RSA para proteger arquivos e informações roubadas movidas da rede da vítima para o controlador. O grupo também faz alterações incrementais e sistemáticas no downloader SOURFACE e no ecossistema circundante desde 2007, o que indica um esforço de desenvolvimento dedicado e de longa data.

Outros recursos

APT29

Suspeita de atribuição: Rússia

Setores-alvo: historicamente, os alvos incluem governos ocidentais, órgãos de elaboração de políticas e relações exteriores, fornecedores governamentais, universidades e, possivelmente, veículos de notícias internacionais.

Visão geral: o APT29 é um grupo de espionagem cibernética patrocinado pelo Estado localizado na Rússia. O grupo tem recursos impressionantes, incluindo uma variedade de ferramentas desenvolvidas sob medida, uma extensa rede de comando e controle (C2) que inclui infraestrutura comprometida e secundária (por meio de provedores de serviços aparentes) e altos níveis de segurança operacional. Nas investigações em que trabalhamos com a presença do APT29, ele demonstrou ter grande conhecimento da postura defensiva das vítimas e familiaridade com métodos para escapar dos investigadores e das tentativas de correção.

Malwares associados: o grupo usa várias famílias de malware, incluindo, mas não se limitando a BEACON, COZYCAR, DAVESHELL, GREEDYHEIR, HTRAN, REGEORG, SEADADDY e SUNBURST.

Vetores de ataque: o APT29 costuma usar spear phishing (ataque de phishing que persegue um único alvo) para ter acesso às redes de destino, mas é capaz de executar formas mais avançadas de atividade de intrusão, como comprometer cadeias de suprimentos. Enquanto alguns grupos de ameaças enviam mensagens de spear phishing altamente personalizadas e direcionadas, os e-mails do APT29 podem ser muito genéricos. Depois de estabelecer uma base, o grupo geralmente instala malware para criar uma porta de entrada e manter o acesso ao longo do tempo.

Outros recursos 

Outros recursos

Outros recursos

Outros recursos

APT36

Suspeita de atribuição: Paquistão

Setores-alvo: ativas desde pelo menos 2013, as campanhas de invasão do APT36 refletem um esforço coordenado para atingir a rival regional Índia, além de demonstrar interesse em organizações militares e intergovernamentais, como a Organização do Tratado do Atlântico Norte (OTAN) e as Nações Unidas (ONU), que têm participação na região. Além disso, o APT36 tem como alvo vários setores em países fora da região, incluindo os EUA.

Visão geral: o APT36 é um agente de espionagem cibernética de longa data que realiza coleta de inteligência para apoiar os interesses militares e diplomáticos do Paquistão.

Malwares associados: o grupo usa várias famílias de malware, incluindo, mas não se limitando a MOONDOOR, SEEPASS, BabylonRAT, SEEKEYS, BREACHRAT, SEEDRIVE, UPDATESEE, MOONRAT e SEEGAP.

Vetores de ataque: o APT36 geralmente usa spear phishing (ataque de phishing que persegue um único alvo) como principal método de comprometimento inicial, com anexos maliciosos que incluem executáveis do Microsoft Windows e documentos do Microsoft Office (que usam macros e explorações conhecidas). As iscas de phishing desse agente geralmente seguem temas militares e políticos. Além disso, observamos que esses agentes usam uma técnica de watering hole exclusiva que emprega engenharia social (em vez de exploits da Web) para atrair as vítimas a fazer o download e abrir documentos maliciosos do Microsoft Office.

APT 35

Setores-alvo: equipes militares, de diplomatas e governamentais do Oriente Médio, da Europa Ocidental e dos EUA, organizações dos setores de mídia, energia e base industrial de defesa, além de engenharia, serviços comerciais e telecomunicações.

Visão geral: o APT35 (também conhecido como Newscaster Team) é uma equipe de espionagem cibernética patrocinada pelo governo iraniano que realiza operações de longo prazo e com uso intensivo de recursos para coletar inteligência estratégica. A Mandiant Threat Intelligence tem observado as operações da APT35 desde 2014. Historicamente, a APT 35 utiliza ferramentas marginalmente sofisticadas, incluindo shells da web disponíveis publicamente e ferramentas de teste de penetração, o que sugere uma capacidade de desenvolvimento relativamente nova. No entanto, a amplitude e o escopo das operações da APT 35, em particular no que se refere aos complexos esforços de engenharia social, provavelmente indicam que o grupo dispõe de bons recursos em outras áreas.

Malwares associados: ASPXSHELLSV, BROKEYOLK, PUPYRAT, TUNNA, MANGOPUNCH, DRUBOT e HOUSEBLEND

Vetores de ataque: em geral, a APT 35 utiliza spear phishing para comprometer inicialmente uma organização, muitas vezes usando iscas relacionadas a anúncios de emprego, saúde, currículos ou políticas de senha. No entanto, também observamos o grupo usando contas comprometidas com credenciais obtidas em operações anteriores, comprometimentos estratégicos da Web e ataques de pulverização de senhas contra aplicativos da Web externos como técnicas adicionais para obter acesso inicial.

APT 32

Também conhecida como "OceanLotus Group"

Suspeita de atribuição: Vietnã

Setores-alvo: empresas estrangeiras que investem nos setores de manufatura, produtos de consumo, consultoria e hotelaria do Vietnã

Visão geral: atividades recentes que visam interesses privados no Vietnã sugerem que a APT 32 representa uma ameaça para as empresas que fazem negócios, fabricam ou se preparam para investir no país. Embora a motivação específica para essa atividade ainda não esteja muito clara, ela pode minar a vantagem competitiva das organizações visadas.

Malwares associados: SOUNDBITE, WINDSHIELD, PHOREAL, BEACON e KOMPROGO

Vetores de ataque: os agentes da APT 32 utilizam arquivos ActiveMime que empregam métodos de engenharia social para induzir a vítima a ativar macros. Quando executado, o arquivo inicializado geralmente faz o download de vários payloads maliciosos de um servidor remoto. Os agentes da APT 32 enviam anexos maliciosos por meio de e-mails de spear phishing (ataque de phishing que persegue um único alvo). As evidências mostram que alguns desses e-mails podem ter sido enviados via Gmail.

APT 1

Também conhecido como Unit 61398 e Comment Crew.

Suspeita de atribuição: 3º Departamento (总参三部二局) do Departamento de Estado-Maior (GSD) do Exército de Libertação Popular da China (PLA), que é mais comumente conhecido pelo designador de cobertura da unidade militar (MUCD) como Unidade 61398 (61398部队).

Setores-alvo: tecnologia da informação, aeroespacial, administração pública, satélites e telecomunicações, pesquisa e consultoria científicas, energia, transporte, construção e manufatura, serviços de engenharia, eletrônicos de alta tecnologia, organizações internacionais, serviços jurídicos, mídia, publicidade e entretenimento, navegação, produtos químicos, serviços financeiros, alimentos e agricultura, saúde, metais e mineração, e educação

Visão geral: a APT 1 roubou sistematicamente centenas de terabytes de dados de pelo menos 141 organizações e demonstrou a capacidade e a intenção de roubar dezenas de organizações simultaneamente. O grupo se concentra no comprometimento de organizações em uma ampla gama de setores em países de língua inglesa. O tamanho da infraestrutura do APT 1 implica uma grande organização com pelo menos dezenas, mas possivelmente centenas, de operadores humanos.

Malwares associados: TROJAN.ECLTYS, BACKDOOR.BARKIOFORK, BACKDOOR.WAKEMINAP, TROJAN.DOWNBOT, BACKDOOR.DALBOT, BACKDOOR.REVIRD, TROJAN.BADNAME e BACKDOOR.WUALESS

Vetores de ataque: o método de comprometimento inicial mais observado é o spear phishing. Os e-mails de spear phishing contêm um anexo malicioso ou um hiperlink para um arquivo malicioso. A linha de assunto e o texto no corpo do e-mail geralmente são relevantes para o destinatário. A APT 1 também cria contas de webmail usando nomes de pessoas reais. Embora os invasores da APT 1 ocasionalmente usem backdoors disponíveis publicamente, como Poison Ivy e Gh0st RAT, na grande maioria das vezes eles usam o que parecem ser backdoors personalizados próprios. Durante a permanência na rede (que pode levar anos), a APT 1 geralmente instala novos backdoors à medida que conquista mais sistemas no ambiente. Portanto, se um backdoor for descoberto e excluído, o grupo ainda terá outros que podem ser usados. Em geral, é possível detectar vários tipos de backdoors da APT 1 espalhados pela rede da vítima quando o grupo está presente por mais de algumas semanas.