Содержание
Цели:
- Кибершпионаж, получение информации, которая может предоставить политические, экономические и военные преимущества
Общее описание
APT31 — группировка, известная с 2016 года. Ее характерной особенностью является специфический вектор атак, а именно: эксплуатация уязвимостей в таких приложениях, как Java и Adobe Flash, использование неизвестных ранее уязвимостей нулевого дня от Equation Group. В различное время жертвами группировки становились правительства Финляндии, предположительно Норвегии и Германии. Ряд экспертов считают, что данная группа проводила атаки на Microsoft Exchange в Великобритании и США, на организации и лица, близкие к кандидатам в президенты США во время предвыборной кампании 2020 года, атаки во Франции в 2021 году. Также некоторые эксперты предполагают, что у этой группировки китайские корни.
Инструменты
- LUCKYBIRD
- SLOWGYRO
- DUCKFAT
- 9002 RAT
- China Chopper
- Gh0st RAT
- HiKit
- Mimikatz
- PlugX
- Sakula RAT
- Trochilus RAT
- HanaLoader
- DropboxAES RAT
- Metasploit
- Reverse ICMP shell
Атакуемые отрасли
- Правительственный сектор
- Международные финансовые организации
- Аэрокосмические и оборонные организации
- Высокие технологии
- Строительство и инжиниринг
- Телекоммуникации
- СМИ и страхование
Атакуемые страны
- Белоруссия
- Великобритания
- Канада
- Монголия
- Норвегия
- Россия
- США
- Финляндия
- Франция
Альтернативные названия группы
- Judgment Panda (CrowdStrike)
- Zirconium (Microsoft)
- APT 31 (Mandiant)
- TEMP.Avengers (Symantec)
- Bronze Vinewood (Secureworks)
Отчеты Positive Technologies и других исследователей
- https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/apt31-new-attacks/
- https://blogs.microsoft.com/on-the-issues/2020/09/10/cyberattacks-us-elections-trump-biden/
- https://www.bleepingcomputer.com/news/security/finnish-parliament-attackers-hack-lawmakers-email-accounts/
- https://therecord.media/finland-pins-parliament-hack-on-chinese-hacking-group-apt31/
- https://www.bleepingcomputer.com/news/security/hackers-breached-norwegian-parliament-emails-to-steal-data/
- https://blog.confiant.com/uncovering-2017s-largest-malvertising-operation-b84cd38d6b85
- https://blog.confiant.com/zirconium-was-one-step-ahead-of-chromes-redirect-blocker-with-0-day-2d61802efd0d
- https://threatpost.com/microsoft-offers-analysis-of-zero-day-being-exploited-by-zirconium-group/124600/
- https://research.checkpoint.com/2021/the-story-of-jian/
- https://blog.google/threat-analysis-group/how-were-tackling-evolving-online-threats/
- https://fuentitech.com/uk-accuses-china-of-hacking-microsoft-exchange-server/140331/
- https://www.gov.uk/government/news/uk-and-allies-hold-chinese-state-responsible-for-a-pervasive-pattern-of-hacking
- https://therecord.media/norway-says-chinese-group-apt31-is-behind-catastrophic-2018-government-hack/
- https://www.cert.ssi.gouv.fr/ioc/CERTFR-2021-IOC-003/
- https://www.secureworks.com/research/bronz-vinewood-uses-hanaloader-to-target-government-supply-chain
- https://www.secureworks.com/research/dropboxaes-remote-access-trojan
- https://www.secureworks.com/research/bronze-vinewood-targets-supply-chains
- https://www.fireeye.com/current-threats/apt-groups.html
Тактики из MITRE ATT&CK, использованные группой
| ID | Название | Описание |
|---|---|---|
| Resource Development | ||
| T1587.001 | Malware | Группа APT31 использовала вредоносные программы для различных операций |
| T1587.002 | Develop Capabilities: Code Signing Certificates | Группа APT31 использовала валидные цифровые подписи для своих вредоносных компонентов |
| Initial Access | ||
| T1566 | Phishing | Группа APT31 использовала фишинг для рассылки своих компонентов |
| Execution | ||
| T1204.002 | User Execution: Malicious File | Группа APT31 занималась рассылкой вредоносных файлов с иконками документов Microsoft Office |
| T1059.003 | Command and Scripting Interpreter: Windows Command Shell | Группа APT31 использовала командную строку для исполнения команд |
| T1106 | Native API | Группа APT31 использовала системные API для исполнения команд |
| Persistence | ||
| T1547.001 | Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder | Группа APT31 использовала реестр Windows для закрепления |
| T1574 | Hijack Execution Flow: DLL Search Order Hijacking | Группа APT31 использовала для закрепления технику DLL hijacking |
| Defense Evasion | ||
| T1036 | Masquerading | Группа APT31 использовала маскировку под файлы Microsoft Office |
| T1140 | Deobfuscate/Decode Files or Information | Группа APT31 использовала загрузчики, расшифровывающие находящуюся внутри полезную нагрузку |
| T1027 | Obfuscated Files or Information | Группа APT31 использовала шифрование полезной нагрузки |
| T1112 | Modify Registry | Группа APT31 использовала реестр Windows для закрепления |
| Discovery | ||
| T1082 | System Information Discovery | Группа APT31 собирала системную информацию с зараженных компьютеров |
| Collection | ||
| T1005 | Data from Local System | Группа APT31 использовала бэкдор-функции для эксфильтрации любого файла на зараженном устройстве |
| Command and Control | ||
| T1001 | Data Obfuscation | Группа APT31 использовала сокрытие данных в C&C |
| T1032 | Standard Cryptographic Protocol | Группа APT31 использовала сокрытие данных в C&C при помощи RC4 |
| T1043 | Commonly Used Port | Группа APT31 использовала порты 80 и 443 для коммуникации |
| T1071.001 | Application Layer Protocol: Web Protocols | Группа APT31 использовала протоколы HTTP и HTTPS для коммуникации с серверами управления |
| Exfiltration | ||
| T1020 | Automated Exfiltration | Группа APT31 использовала автоматическую эксфильтрацию похищенных файлов через Dropbox |
| T1041 | Exfiltration Over C2 Channel | Группа APT31 использовала C&C-канал для эксфильтрации данных |
