• Главная
  • Исследования
  • Хакерские группировки
  • APT31

APT31

Альтернативные названия: Judgment Panda, Zirconium, APT 31, TEMP.Avengers, Bronze Vinewood
Атакуемые отрасли:
  • Финансовый сектор
  • Авиационно-космическая промышленность
  • Телекоммуникации
  • Строительство
  • Исследовательские компании
  • Неправительственные организации
  • Медиа

Содержание

  • Общее описание
  • Инструменты
  • Атакуемые отрасли
  • Атакуемые страны
  • Альтернативные названия группы
  • Отчеты Positive Technologies и других исследователей
  • Тактики из MITRE ATT&CK, использованные группой

Цели:

  • Кибершпионаж, получение информации, которая может предоставить политические, экономические и военные преимущества

Общее описание

APT31 — группировка, известная с 2016 года. Ее характерной особенностью является специфический вектор атак, а именно: эксплуатация уязвимостей в таких приложениях, как Java и Adobe Flash, использование неизвестных ранее уязвимостей нулевого дня от Equation Group. В различное время жертвами группировки становились правительства Финляндии, предположительно Норвегии и Германии. Ряд экспертов считают, что данная группа проводила атаки на Microsoft Exchange в Великобритании и США, на организации и лица, близкие к кандидатам в президенты США во время предвыборной кампании 2020 года, атаки во Франции в 2021 году. Также некоторые эксперты предполагают, что у этой группировки китайские корни.

Инструменты

  • LUCKYBIRD
  • SLOWGYRO
  • DUCKFAT
  • 9002 RAT
  • China Chopper
  • Gh0st RAT
  • HiKit
  • Mimikatz
  • PlugX
  • Sakula RAT
  • Trochilus RAT
  • HanaLoader
  • DropboxAES RAT
  • Metasploit
  • Reverse ICMP shell

Атакуемые отрасли

  • Правительственный сектор
  • Международные финансовые организации
  • Аэрокосмические и оборонные организации
  • Высокие технологии
  • Строительство и инжиниринг
  • Телекоммуникации
  • СМИ и страхование

Атакуемые страны

  • Белоруссия
  • Великобритания
  • Канада
  • Монголия
  • Норвегия
  • Россия
  • США
  • Финляндия
  • Франция

Альтернативные названия группы

  • Judgment Panda (CrowdStrike)
  • Zirconium (Microsoft)
  • APT 31 (Mandiant)
  • TEMP.Avengers (Symantec)
  • Bronze Vinewood (Secureworks)

Отчеты Positive Technologies и других исследователей

  • https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/apt31-cloud-attacks/
  • https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/apt31-new-attacks/
  • https://blogs.microsoft.com/on-the-issues/2020/09/10/cyberattacks-us-elections-trump-biden/
  • https://www.bleepingcomputer.com/news/security/finnish-parliament-attackers-hack-lawmakers-email-accounts/
  • https://therecord.media/finland-pins-parliament-hack-on-chinese-hacking-group-apt31/
  • https://www.bleepingcomputer.com/news/security/hackers-breached-norwegian-parliament-emails-to-steal-data/
  • https://blog.confiant.com/uncovering-2017s-largest-malvertising-operation-b84cd38d6b85
  • https://blog.confiant.com/zirconium-was-one-step-ahead-of-chromes-redirect-blocker-with-0-day-2d61802efd0d
  • https://threatpost.com/microsoft-offers-analysis-of-zero-day-being-exploited-by-zirconium-group/124600/
  • https://research.checkpoint.com/2021/the-story-of-jian/
  • https://blog.google/threat-analysis-group/how-were-tackling-evolving-online-threats/
  • https://fuentitech.com/uk-accuses-china-of-hacking-microsoft-exchange-server/140331/
  • https://www.gov.uk/government/news/uk-and-allies-hold-chinese-state-responsible-for-a-pervasive-pattern-of-hacking
  • https://therecord.media/norway-says-chinese-group-apt31-is-behind-catastrophic-2018-government-hack/
  • https://www.cert.ssi.gouv.fr/ioc/CERTFR-2021-IOC-003/
  • https://www.secureworks.com/research/bronz-vinewood-uses-hanaloader-to-target-government-supply-chain
  • https://www.secureworks.com/research/dropboxaes-remote-access-trojan
  • https://www.secureworks.com/research/bronze-vinewood-targets-supply-chains
  • https://www.fireeye.com/current-threats/apt-groups.html

Тактики из MITRE ATT&CK, использованные группой

ID Название Описание
Resource Development
T1587.001 Malware Группа APT31 использовала вредоносные программы для различных операций
T1587.002 Develop Capabilities: Code Signing Certificates Группа APT31 использовала валидные цифровые подписи для своих вредоносных компонентов
Initial Access
T1566 Phishing Группа APT31 использовала фишинг для рассылки своих компонентов
Execution
T1204.002 User Execution: Malicious File Группа APT31 занималась рассылкой вредоносных файлов с иконками документов Microsoft Office
T1059.003 Command and Scripting Interpreter: Windows Command Shell Группа APT31 использовала командную строку для исполнения команд
T1106 Native API Группа APT31 использовала системные API для исполнения команд
Persistence
T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder Группа APT31 использовала реестр Windows для закрепления
T1574 Hijack Execution Flow: DLL Search Order Hijacking Группа APT31 использовала для закрепления технику DLL hijacking
Defense Evasion
T1036 Masquerading Группа APT31 использовала маскировку под файлы Microsoft Office
T1140 Deobfuscate/Decode Files or Information Группа APT31 использовала загрузчики, расшифровывающие находящуюся внутри полезную нагрузку
T1027 Obfuscated Files or Information Группа APT31 использовала шифрование полезной нагрузки
T1112 Modify Registry Группа APT31 использовала реестр Windows для закрепления
Discovery
T1082 System Information Discovery Группа APT31 собирала системную информацию с зараженных компьютеров
Collection
T1005 Data from Local System Группа APT31 использовала бэкдор-функции для эксфильтрации любого файла на зараженном устройстве
Command and Control
T1001 Data Obfuscation Группа APT31 использовала сокрытие данных в C&C
T1032 Standard Cryptographic Protocol Группа APT31 использовала сокрытие данных в C&C при помощи RC4
T1043 Commonly Used Port Группа APT31 использовала порты 80 и 443 для коммуникации
T1071.001 Application Layer Protocol: Web Protocols Группа APT31 использовала протоколы HTTP и HTTPS для коммуникации с серверами управления
Exfiltration
T1020 Automated Exfiltration Группа APT31 использовала автоматическую эксфильтрацию похищенных файлов через Dropbox
T1041 Exfiltration Over C2 Channel Группа APT31 использовала C&C-канал для эксфильтрации данных

Группировки, атакующие такие же отрасли:

  • APT32
  • Bronze Union
  • ChamelGang
  • Cobalt
  • CozyDuke
Поделиться:
Ссылка скопирована
Вернуться к выбору статей
Решения
  • PT XDR
  • Построение центра ГосСОПКА
  • Комплекс для раннего выявления сложных угроз
  • Безопасность объектов КИИ
  • PT Industrial Cybersecurity Suite
  • Безопасность Linux-систем
  • Выполнение Указа № 250
Продукты
  • MaxPatrol 8
  • MaxPatrol SIEM
  • PT ISIM
  • MaxPatrol O2
  • PT MultiScanner
  • ПТ Ведомственный центр
  • MaxPatrol SIEM All-in-One
  • MaxPatrol VM
  • PT Network Attack Discovery
  • PT Application Firewall
  • PT Application Inspector
  • PT BlackBox
  • PT Platform 187
  • XSpider
  • PT Sandbox
  • PT Threat Intelligence Feeds
Сервисы
  • Непрерывный анализ защищенности бизнеса
  • Услуги PT Expert Security Center
  • Исследование угроз и уязвимостей аппаратных решений
  • Техническая поддержка
Исследования
  • Аналитические статьи
  • База знаний
  • Словарь терминов ИБ
  • Хакерские группировки
  • PT ESC Threat Intelligence
  • Блог
  • Вебинары
  • Уязвимости и угрозы
Партнеры
  • Авторизованные партнеры
  • Дистрибьюторы
  • Технологические партнеры
  • MSSP-партнеры
  • Авторизованные учебные центры
  • Стать партнером
  • Вход в личный кабинет
О компании
  • История
  • Клиенты
  • Мероприятия
  • Вакансии
  • Новости
  • Пресс-центр
  • Контакты
  • Документация и материалы
  • Долговые инструменты
Инвесторам
Positive Technologies
© Positive Technologies, 2002—2023.
Мы в социальных сетях:
  • Сообщить об уязвимости
  • Справочный портал
  • Правила использования
  • Политика конфиденциальности
  • Согласие на сбор и обработку персональных данных
  • Согласие на получение рассылки рекламно-информационных материалов
  • Политика использования файлов cookie
  • Юридическая информация
  • Информация в ленте Интерфакс
  • Карта сайта
© Positive Technologies, 2002—2023.
  • Сообщить об уязвимости
  • Справочный портал
  • Правила использования
  • Политика конфиденциальности
  • Согласие на сбор и обработку персональных данных
  • Согласие на получение рассылки рекламно-информационных материалов
  • Политика использования файлов cookie
  • Юридическая информация
  • Информация в ленте Интерфакс
  • Карта сайта