Russian
  • English
  • Korean
  • Техническая поддержка
  • Личный кабинет партнера
Positive Technologies
Russian
  • English
  • Korean
  • Решения
    Построение центра ГосСОПКА

    Комплексное решение для создания центра ГосСОПКА и взаимодействия с НКЦКИ

    Комплекс для раннего выявления сложных угроз

    Комплексное решение для раннего выявления и предотвращения целевых атак

    Безопасность объектов КИИ

    Система безопасности значимых объектов КИИ в соответствии с требованиями закона № 187-ФЗ

    PT Industrial Cybersecurity Suite

    Комплексная платформа для защиты промышленности от киберугроз

    Выполнение Указа № 250

    Выполнение требований Указа Президента РФ № 250

    Посмотреть все →
  • Продукты
    MaxPatrol 8

    Контроль защищенности и соответствия стандартам

    MaxPatrol SIEM

    Выявление инцидентов ИБ в реальном времени

    PT ISIM

    Управление инцидентами кибербезопасности АСУ ТП

    PT MultiScanner

    Многоуровневая защита от вредоносного ПО

    ПТ Ведомственный центр

    Управление инцидентами и взаимодействие с ГосСОПКА

    MaxPatrol SIEM All-in-One

    Полноценный SIEM для небольших инфраструктур

    MaxPatrol VM

    Система нового поколения для управления уязвимостями

    PT Network Attack Discovery

    Система анализа трафика (NTA) для выявления атак

    PT Application Firewall

    Защита приложений от веб-атак

    PT Application Inspector

    Анализатор защищенности приложений

    PT BlackBox

    Динамический анализатор приложений

    PT Platform 187

    Реализация основных требований 187-ФЗ для небольших инфраструктур

    XSpider

    Сканер уязвимостей

    PT Sandbox

    Первая песочница, которая защищает именно вашу инфраструктуру

    PT XDR

    Продукт класса Extended Detection and Response для выявления киберугроз и реагирования на них

    PT Threat Intelligence Feeds

    Фиды с экспертными знаниями об угрозах

    Посмотреть все →
  • Сервисы
    Непрерывный анализ защищенности бизнеса

    Услуги Positive Technologies по анализу защищенности бизнеса от киберугроз позволят непрерывно выявлять реальные векторы атак на вашу компанию и совершенствовать стратегию реагирования на инциденты

    Услуги PT Expert Security Center

    Экспертный центр безопасности Positive Technologies предоставляет услуги по обнаружению, реагированию и расследованию сложных инцидентов, а также по мониторингу защищенности корпоративных систем

    Исследование угроз и уязвимостей аппаратных решений

    Выявление аппаратных уязвимостей и закладок – один из самых сложных элементов в реализации зрелой стратегии безопасности. Эксперты Positive Technologies готовы оказать всестороннюю помощь в этом вопросе.

    Расширенная техническая поддержка

    Сделайте использование продуктов Positive Technologies еще более эффективным и приятным с расширенной технической поддержкой. Наши специалисты могут самостоятельно провести установку и настройку продуктов, оценить эффективность работы и в кратчайшие сроки разобраться с любым обращением от клиентов.

    Посмотреть все →
  • Исследования
    Аналитические статьи
    База знаний
    Словарь терминов ИБ
    Хакерские группировки
    PT ESC Threat Intelligence
    Блог
    Вебинары
    Уязвимости и угрозы
    Посмотреть все →
  • Партнеры
    Авторизованные партнеры
    Дистрибьюторы
    Технологические партнеры
    MSSP-партнеры
    Авторизованные учебные центры
    Стать партнером
    Вход в личный кабинет
    Посмотреть все →
  • О компании
    История
    Клиенты
    Долговые инструменты
    Пресс-центр
    Новости
    Мероприятия
    Вакансии
    Контакты
    Документация и материалы
    Эксперты
    Посмотреть все →
  • Инвесторам
Меню
  • Главная
  • Исследования
  • Хакерские группировки
  • APT31

APT31

Альтернативные названия: Judgment Panda, Zirconium, APT 31, TEMP.Avengers, Bronze Vinewood
Атакуемые отрасли:
  • Финансовый сектор
  • Авиационно-космическая промышленность
  • Телекоммуникации
  • Строительство
  • Исследовательские компании
  • Неправительственные организации
  • Медиа

Содержание

  • Общее описание
  • Инструменты
  • Атакуемые отрасли
  • Атакуемые страны
  • Альтернативные названия группы
  • Отчеты Positive Technologies и других исследователей
  • Тактики из MITRE ATT&CK, использованные группой

Цели:

  • Кибершпионаж, получение информации, которая может предоставить политические, экономические и военные преимущества

Общее описание

APT31 — группировка, известная с 2016 года. Ее характерной особенностью является специфический вектор атак, а именно: эксплуатация уязвимостей в таких приложениях, как Java и Adobe Flash, использование неизвестных ранее уязвимостей нулевого дня от Equation Group. В различное время жертвами группировки становились правительства Финляндии, предположительно Норвегии и Германии. Ряд экспертов считают, что данная группа проводила атаки на Microsoft Exchange в Великобритании и США, на организации и лица, близкие к кандидатам в президенты США во время предвыборной кампании 2020 года, атаки во Франции в 2021 году. Также некоторые эксперты предполагают, что у этой группировки китайские корни.

Инструменты

  • LUCKYBIRD
  • SLOWGYRO
  • DUCKFAT
  • 9002 RAT
  • China Chopper
  • Gh0st RAT
  • HiKit
  • Mimikatz
  • PlugX
  • Sakula RAT
  • Trochilus RAT
  • HanaLoader
  • DropboxAES RAT
  • Metasploit
  • Reverse ICMP shell

Атакуемые отрасли

  • Правительственный сектор
  • Международные финансовые организации
  • Аэрокосмические и оборонные организации
  • Высокие технологии
  • Строительство и инжиниринг
  • Телекоммуникации
  • СМИ и страхование

Атакуемые страны

  • Белоруссия
  • Великобритания
  • Канада
  • Монголия
  • Норвегия
  • Россия
  • США
  • Финляндия
  • Франция

Альтернативные названия группы

  • Judgment Panda (CrowdStrike)
  • Zirconium (Microsoft)
  • APT 31 (Mandiant)
  • TEMP.Avengers (Symantec)
  • Bronze Vinewood (Secureworks)

Отчеты Positive Technologies и других исследователей

  • https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/apt31-cloud-attacks/
  • https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/apt31-new-attacks/
  • https://blogs.microsoft.com/on-the-issues/2020/09/10/cyberattacks-us-elections-trump-biden/
  • https://www.bleepingcomputer.com/news/security/finnish-parliament-attackers-hack-lawmakers-email-accounts/
  • https://therecord.media/finland-pins-parliament-hack-on-chinese-hacking-group-apt31/
  • https://www.bleepingcomputer.com/news/security/hackers-breached-norwegian-parliament-emails-to-steal-data/
  • https://blog.confiant.com/uncovering-2017s-largest-malvertising-operation-b84cd38d6b85
  • https://blog.confiant.com/zirconium-was-one-step-ahead-of-chromes-redirect-blocker-with-0-day-2d61802efd0d
  • https://threatpost.com/microsoft-offers-analysis-of-zero-day-being-exploited-by-zirconium-group/124600/
  • https://research.checkpoint.com/2021/the-story-of-jian/
  • https://blog.google/threat-analysis-group/how-were-tackling-evolving-online-threats/
  • https://fuentitech.com/uk-accuses-china-of-hacking-microsoft-exchange-server/140331/
  • https://www.gov.uk/government/news/uk-and-allies-hold-chinese-state-responsible-for-a-pervasive-pattern-of-hacking
  • https://therecord.media/norway-says-chinese-group-apt31-is-behind-catastrophic-2018-government-hack/
  • https://www.cert.ssi.gouv.fr/ioc/CERTFR-2021-IOC-003/
  • https://www.secureworks.com/research/bronz-vinewood-uses-hanaloader-to-target-government-supply-chain
  • https://www.secureworks.com/research/dropboxaes-remote-access-trojan
  • https://www.secureworks.com/research/bronze-vinewood-targets-supply-chains
  • https://www.fireeye.com/current-threats/apt-groups.html

Тактики из MITRE ATT&CK, использованные группой

ID Название Описание
Resource Development
T1587.001 Malware Группа APT31 использовала вредоносные программы для различных операций
T1587.002 Develop Capabilities: Code Signing Certificates Группа APT31 использовала валидные цифровые подписи для своих вредоносных компонентов
Initial Access
T1566 Phishing Группа APT31 использовала фишинг для рассылки своих компонентов
Execution
T1204.002 User Execution: Malicious File Группа APT31 занималась рассылкой вредоносных файлов с иконками документов Microsoft Office
T1059.003 Command and Scripting Interpreter: Windows Command Shell Группа APT31 использовала командную строку для исполнения команд
T1106 Native API Группа APT31 использовала системные API для исполнения команд
Persistence
T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder Группа APT31 использовала реестр Windows для закрепления
T1574 Hijack Execution Flow: DLL Search Order Hijacking Группа APT31 использовала для закрепления технику DLL hijacking
Defense Evasion
T1036 Masquerading Группа APT31 использовала маскировку под файлы Microsoft Office
T1140 Deobfuscate/Decode Files or Information Группа APT31 использовала загрузчики, расшифровывающие находящуюся внутри полезную нагрузку
T1027 Obfuscated Files or Information Группа APT31 использовала шифрование полезной нагрузки
T1112 Modify Registry Группа APT31 использовала реестр Windows для закрепления
Discovery
T1082 System Information Discovery Группа APT31 собирала системную информацию с зараженных компьютеров
Collection
T1005 Data from Local System Группа APT31 использовала бэкдор-функции для эксфильтрации любого файла на зараженном устройстве
Command and Control
T1001 Data Obfuscation Группа APT31 использовала сокрытие данных в C&C
T1032 Standard Cryptographic Protocol Группа APT31 использовала сокрытие данных в C&C при помощи RC4
T1043 Commonly Used Port Группа APT31 использовала порты 80 и 443 для коммуникации
T1071.001 Application Layer Protocol: Web Protocols Группа APT31 использовала протоколы HTTP и HTTPS для коммуникации с серверами управления
Exfiltration
T1020 Automated Exfiltration Группа APT31 использовала автоматическую эксфильтрацию похищенных файлов через Dropbox
T1041 Exfiltration Over C2 Channel Группа APT31 использовала C&C-канал для эксфильтрации данных

Группировки, атакующие такие же отрасли:

  • APT32
  • Bronze Union
  • ChamelGang
  • Cobalt
  • CozyDuke
Поделиться:
Ссылка скопирована
Вернуться к выбору статей
Решения
  • Построение центра ГосСОПКА
  • Комплекс для раннего выявления сложных угроз
  • Безопасность объектов КИИ
  • PT Industrial Cybersecurity Suite
  • Выполнение Указа № 250
Продукты
  • MaxPatrol 8
  • MaxPatrol SIEM
  • PT ISIM
  • PT MultiScanner
  • ПТ Ведомственный центр
  • MaxPatrol SIEM All-in-One
  • MaxPatrol VM
  • PT Network Attack Discovery
  • PT Application Firewall
  • PT Application Inspector
  • PT BlackBox
  • PT Platform 187
  • XSpider
  • PT Sandbox
  • PT XDR
  • PT Threat Intelligence Feeds
Сервисы
  • Непрерывный анализ защищенности бизнеса
  • Услуги PT Expert Security Center
  • Исследование угроз и уязвимостей аппаратных решений
  • Расширенная техническая поддержка
Исследования
  • Аналитические статьи
  • База знаний
  • Словарь терминов ИБ
  • Хакерские группировки
  • PT ESC Threat Intelligence
  • Блог
  • Вебинары
  • Уязвимости и угрозы
Партнеры
  • Авторизованные партнеры
  • Дистрибьюторы
  • Технологические партнеры
  • MSSP-партнеры
  • Авторизованные учебные центры
  • Стать партнером
  • Вход в личный кабинет
О компании
  • История
  • Клиенты
  • Долговые инструменты
  • Пресс-центр
  • Новости
  • Мероприятия
  • Вакансии
  • Контакты
  • Документация и материалы
  • Эксперты
Инвесторам
Positive Technologies
© Positive Technologies, 2002—2023.
Мы в социальных сетях:
  • Сообщить об уязвимости
  • Справочный портал
  • Правила использования
  • Политика конфиденциальности
  • Согласие на сбор и обработку персональных данных
  • Согласие на получение рассылки рекламно-информационных материалов
  • Политика использования файлов cookie
  • Юридическая информация
  • Информация в ленте Интерфакс
  • Карта сайта
© Positive Technologies, 2002—2023.
  • Сообщить об уязвимости
  • Справочный портал
  • Правила использования
  • Политика конфиденциальности
  • Согласие на сбор и обработку персональных данных
  • Согласие на получение рассылки рекламно-информационных материалов
  • Политика использования файлов cookie
  • Юридическая информация
  • Информация в ленте Интерфакс
  • Карта сайта