Analyse d'attaque : Se défendre contre le ransomware Codefinger dans AWS S3 >

Analyse d'attaque : Se défendre contre le ransomware Codefinger dans AWS S3 >

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
cybercriminels
>
Acteurs de menaces d’États-nations

APT1

L'APT était un groupe parrainé par un État, connu pour avoir volé des quantités massives de données à de grandes entreprises et à des agences gouvernementales. Bien qu'elles aient été révélées par la recherche en cybersécurité, les tactiques de cet acteur de la menace sont encore utilisées aujourd'hui.

Détecter les TTP d'APT1
Votre organisation est-elle à l'abri des attaques d'APT1 ?
Contexte
Cibles
TTPs
Détection
Foire aux questions
Regarder notre Threat Briefing

L'origine de l'APT1

APT1 a été observé pour la première fois en 2006 et a été attribué à l'Armée populaire de libération (APL) de Chine. Il s'agit de l'un des groupes d'attaque étatique les plus prolifiques au monde, qui a utilisé des techniques sophistiquées pour échapper à la détection et voler des centaines de téraoctets de données à plus de 140 organisations en l'espace de sept ans.

Le groupe a fonctionné jusqu'en février 2013, date à laquelle il a commencé à réduire ses attaques après avoir été démasqué par un rapport de recherche approfondi sur la cybersécurité. Depuis lors, les éditeurs de logiciels de sécurité ont identifié des attaques reprenant certaines des techniques originales d'APT1.

Sources : Mandiant, SecurityWeek,,OCD

L'origine de l'APT1
Cibles

Cibles de l'APT1

Pays ciblés par APT1

Selon Mandiant, la société à l'origine du rapport qui a révélé l'existence d'APT1, 87 % des entreprises ciblées par le groupe se trouvent dans des pays anglophones. Il est notamment lié au piratage réussi de plus de 100 entreprises américaines.

Sources : Mandiant, Wired

Industries ciblées par APT1

APT1 est probablement à l'origine d'attaques visant des organisations dans un large éventail de secteurs dotés d'infrastructures essentielles, notamment des agences gouvernementales, des entreprises internationales et des entreprises de défense.

Industries ciblées par APT1

APT1 est probablement à l'origine d'attaques visant des organisations dans un large éventail de secteurs dotés d'infrastructures essentielles, notamment des agences gouvernementales, des entreprises internationales et des entreprises de défense.

Victimes de l'APT1

APT1 aurait volé des centaines de téraoctets de données à au moins 141 organisations, démontrant ainsi sa capacité à voler des dizaines d'organisations simultanément.

Source : Mandiant

Méthode d'attaque

Méthode d'attaque APT1

Accès Initial
Élévation de privilèges
Défense Evasion
Accès aux identifiants
Découverte
Mouvement latéral
Collection
Exécution
Exfiltration
Impact
Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.

APT1 utilise des courriels de spearphishing contenant des pièces jointes ou des liens malveillants pour s'implanter dans un réseau.

Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.

Le groupe exploite les vulnérabilités et utilise des outils tels que Mimikatz pour obtenir des privilèges élevés.

Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.

Ils utilisent des tactiques de déguisement, comme le fait de nommer les malware d'après des processus légitimes.

Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.

APT1 a extrait des informations d'identification de la mémoire LSASS à l'aide d'outils tels que Mimikatz.

Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.

Des commandes telles que liste de tâches, utilisateur netet ipconfig /all sont utilisés pour cartographier le réseau et le système de la victime.

Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.

Des outils tels que RDP leur permettent de se déplacer d'un système à l'autre au sein du réseau.

Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.

Ils utilisent des scripts automatisés et des outils tels que GETMAIL pour collecter des courriels et d'autres fichiers précieux.

Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.

APT1 s'appuie sur le shell de commande Windows et les scripts batch pour l'automatisation.

Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.

Les données collectées sont souvent compressées à l'aide de RAR avant d'être exfiltrées.

Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.

Des techniques d'évasion sophistiquées ont permis à APT1 de voler de grandes quantités de propriété intellectuelle, capturant jusqu'à 6,5 téraoctets de données compressées d'une seule organisation sur une période de dix mois.

Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.
Accès Initial

APT1 utilise des courriels de spearphishing contenant des pièces jointes ou des liens malveillants pour s'implanter dans un réseau.

Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.
Élévation de privilèges

Le groupe exploite les vulnérabilités et utilise des outils tels que Mimikatz pour obtenir des privilèges élevés.

Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.
Défense Evasion

Ils utilisent des tactiques de déguisement, comme le fait de nommer les malware d'après des processus légitimes.

Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.
Accès aux identifiants

APT1 a extrait des informations d'identification de la mémoire LSASS à l'aide d'outils tels que Mimikatz.

Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.
Découverte

Des commandes telles que liste de tâches, utilisateur netet ipconfig /all sont utilisés pour cartographier le réseau et le système de la victime.

Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.
Mouvement latéral

Des outils tels que RDP leur permettent de se déplacer d'un système à l'autre au sein du réseau.

Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.
Collection

Ils utilisent des scripts automatisés et des outils tels que GETMAIL pour collecter des courriels et d'autres fichiers précieux.

Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.
Exécution

APT1 s'appuie sur le shell de commande Windows et les scripts batch pour l'automatisation.

Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.
Exfiltration

Les données collectées sont souvent compressées à l'aide de RAR avant d'être exfiltrées.

Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.
Impact

Des techniques d'évasion sophistiquées ont permis à APT1 de voler de grandes quantités de propriété intellectuelle, capturant jusqu'à 6,5 téraoctets de données compressées d'une seule organisation sur une période de dix mois.

MITRE ATT&CK Mapping

APT1 TTPs

TA0001: Initial Access
T1566
Phishing
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
No items found.
TA0005: Defense Evasion
T1550
Use Alternate Authentication Material
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1087
Account Discovery
T1049
System Network Connections Discovery
T1016
System Network Configuration Discovery
TA0008: Lateral Movement
T1550
Use Alternate Authentication Material
T1021
Remote Services
TA0009: Collection
T1560
Archive Collected Data
T1119
Automated Collection
T1114
Email Collection
T1005
Data from Local System
TA0011: Command and Control
No items found.
TA0010: Exfiltration
No items found.
TA0040: Impact
No items found.
Détections de la plate-forme

Comment détecter des menaces comme APT1 avec Vectra AI?

Des milliers d'entreprises s'appuient sur de puissantes détections basées sur l'IA pour trouver et arrêter les attaques avant qu'il ne soit trop tard.

RDP Recon

Suspicious Remote Desktop Protocol

Suspicious Remote Execution

Voir plus de détections
Évaluez votre exposition aux attaques

Foire aux questions

Qu'est-ce que l'APT1 ?

APT1 est une menace persistante avancée (APT) d'origine chinoise. Il est considéré comme l'un des groupes d'attaque d'État-nation les plus prolifiques de tous les temps, si l'on se base sur la quantité de données volées.

Qui se cache derrière APT1 ?

APT1 serait lié à l'Armée populaire de libération (APL) de Chine. Même s'il ne s'agit pas d'une entité officielle du gouvernement chinois, la plupart des chercheurs en cybersécurité pensent que le gouvernement était au moins au courant de ses opérations.

Quel est l'objectif principal d'APT1 ?

APT1 se concentre sur le cyber-espionnage, le vol de propriété intellectuelle et de données sensibles au profit des intérêts stratégiques de la Chine.

Quels sont les outils et les techniques utilisés par APT1 ?

APT1 est connu pour utiliser des tactiques, des techniques et des procédures (TTP) avancées pour échapper à la détection et maintenir une présence persistante sur les réseaux de ses victimes. Ces tactiques vont des attaques de spear phishing au protocole de bureau à distance (Remote Desktop Protocol).

Combien de temps APT1 reste-t-il généralement dans un réseau ?

Ils maintiennent souvent l'accès pendant de longues périodes, en tirant parti de leurs techniques de persistance.

Quels sont les secteurs les plus menacés ?

L'aérospatiale, la défense et les télécommunications sont des cibles prioritaires pour APT1.

Quel est le rôle de l'infrastructure dans les opérations d'APT1 ?

APT1 enregistre et détourne des domaines à des fins d'phishing, de commande et de contrôle, et d'exfiltration de données.

Quelles sont les conséquences d'une attaque APT ?

Une fois qu'un APT a contourné les outils de prévention de la sécurité, les attaquants utilisent des techniques très sophistiquées pour progresser dans le réseau et accéder à des comptes privilégiés. APT1 était particulièrement doué pour échapper à la détection, ce qui a permis au groupe de rester indétecté pendant des mois, voire des années. Il en résulte des quantités massives de données volées.

Quel est le meilleur moyen de prévenir les attaques APT ?

Bien qu'une prévention à 100 % soit impossible, des mesures de sécurité peuvent contribuer à tenir les attaques APT à distance. Il s'agit notamment d'imposer des mots de passe forts, de former les employés aux dangers du phishing et de mettre en place des protocoles d'authentification.

Comment les organisations peuvent-elles détecter et stopper les attaques APT ?

Une fois qu'une attaque APT a contourné vos outils de prévention, la détection en temps réel est essentielle. Le meilleur moyen de trouver et d'arrêter les attaquants est de recourir à des détections basées sur l'IA, conçues pour identifier les dernières tactiques, techniques et procédures - et pour séparer les activités simplement suspectes des véritables menaces.   

Votre organisation est-elle à l'abri des attaques d'APT1 ?

Évaluez votre exposition aux attaques