Содержание
Цели:
- Шпионаж
- Вымогательство денежных средств (?)
Общее описание
Bronze Union — APT-группировка, активная как минимум с 2010 года. По мнению различных исследователей, имеет китайское происхождение. Широко использует для начального проникновения техники «атаки на водопой» (watering hole), в частности заражение веб-сайтов, посещаемых жертвами, а также фишинг и уязвимости сетевых сервисов. Группа специализируется на кибершпионаже, преимущественно в сетях государственных учреждений, оборонных предприятий и политических организаций. В 2020 году некоторые исследователи (включая специалистов PT Expert Secutity Center) предположили появление у группы финансовой мотивации.
Инструменты
- AspxSpy/ASPXTool webshell
- Antak webshell
- China Chopper webshell
- Clambling
- Dnstunclient
- Gh0st RAT
- HTran
- HttpBrowser
- Hunter
- HyperBro
- Mimikatz/Wrapikatz
- NBTscan
- OwaAuth
- PlugX/Korplug
- Polpo
- PsExec
- SysUpdate
- TwoFace
- Windows Credentials Editor
- ZxShell
- gsecdump
- pwdump
Атакуемые отрасли
- Авиационно-космическая промышленность
- Аналитические центры
- Военно-промышленный комплекс
- Государственный сектор
- Информационные технологии
- Медиа
- Образование
- Промышленный сектор
Атакуемые страны
- Австралия
- Великобритания
- Вьетнам
- Гонконг
- Израиль
- Индия
- Иран
- Испания
- Канада
- Китай
- Монголия
- Россия
- США
- Тайвань
- Таиланд
- Тибет
- Турция
- Филлипины
- Южная Корея
- Япония
Альтернативные названия группы
- LuckyMouse
- Emissary Panda
- APT27
- Iron Tiger
- TG-3390
- TEMP.Hippo
- Group 35
- ZipToken
Отчеты Positive Technologies и других исследователей
- https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/incident-response-polar-ransomware-apt27/
- https://arstechnica.com/information-technology/2015/08/newly-discovered-chinese-hacking-group-hacked-100-websites-to-use-as-watering-holes/
- https://github.com/CyberMonitor/APT_CyberCriminal_Campagin_Collections/blob/master/2015/2015.09.17.Operation_Iron_Tiger/wp-operation-iron-tiger.pdf
- https://www.secureworks.com/research/threat-group-3390-targets-organizations-for-cyberespionage
- https://www.secureworks.com/research/bronze-union
- https://labs.bitdefender.com/2018/02/operation-pzchao-a-possible-return-of-the-iron-tiger-apt/
- https://research.nccgroup.com/2018/05/18/emissary-panda-a-potential-new-malicious-tool/
- https://securelist.com/luckymouse-hits-national-data-center/86083/
- https://securelist.com/luckymouse-ndisproxy-driver/87914/
- https://www.secureworks.com/research/a-peek-into-bronze-unions-toolbox
- https://securelist.com/apt-trends-report-q1-2019/90643/
- https://unit42.paloaltonetworks.com/emissary-panda-attacks-middle-east-government-sharepoint-servers/
- https://shared-public-reports.s3-eu-west-1.amazonaws.com/APT27+turns+to+ransomware.pdf
- https://www.welivesecurity.com/2020/12/10/luckymouse-ta428-compromise-able-desktop/
- https://decoded.avast.io/luigicamastra/apt-group-targeting-governmental-agencies-in-east-asia/
Тактики из MITRE ATT&CK, использованные группой
| ID | Название | Описание |
|---|---|---|
| Initial Access | ||
| T1078 | Valid Accounts | Группа Bronze Union разнообразными методами получала легитимные учетные данные и использовала их для дальнейшего бокового перемещения в сетях жертвы |
| T1133 | External Remote Services | Группа Bronze Union во время операции находила и использовала VPN-профили для доступа к сети с использованием внешних VPN-сервисов. Кроме того, группа в процессе вторжения получала учетные данные OWA, которые затем использовались для восстановления доступа к сети после его утраты |
| T1189 | Drive-by Compromise | Группа Bronze Union широко использовала стратегичесую компрометацию веб-сайтов (strategic web compromises) с целью заражения своих жертв |
| T1190 | Exploit Public-Facing Application | Группа Bronze Union эксплуатировала уязвимости сетевых сервисов в качестве основного вектора заражения |
| T1195.002 | Supply Chain Compromise: Compromise Software Supply Chain | Группа Bronze Union использовала инфицированные установщики, а также скомпрометированную систему обновления ПО Able Desktop для распространения своего ВПО |
| T1199 | Trusted Relationship | Для начального проникновения в организацию группа Bronze Union рассылала электронные письма со взломанных email-аккаунтов доверенной компании |
| T1566.001 | Phishing: Spearphishing Attachment | Группа Bronze Union рассылала целевые фишинговые письма c вложениями-приманками |
| Execution | ||
| T1047 | Windows Management Instrumentation | Группа Bronze Union использовала WMI для запуска своего ВПО |
| T1053.002 | Scheduled Task/Job: At (Windows) | Группа Bronze Union использовала команду at для планирования задач по исполнению SFX-RAR-архивов, устанавливающих ВПО HTTPBrowser или PlugX |
| T1059.001 | Command and Scripting Interpreter: PowerShell | Группа Bronze Union использовала PowerShell для исполнения команд |
| T1059.003 | Command and Scripting Interpreter: Windows Command Shell | Группа Bronze Union использовала командный интерпретатор для исполнения команд |
| T1106 | Native API | ВПО Bronze Union может использовать API CreateProcess и ShellExecute для запуска новых процессов |
| T1203 | Exploitation for Client Execution | Группа Bronze Union эксплуатировала уязвимости CVE-2019-0604 в Microsoft SharePoint, CVE-2017-11882 в Equation Editor |
| Execution | ||
| T1204.002 | User Execution: Malicious File | Зараженный ВПО Bronze Union установщик Able Desktop запускался на исполнение пользователем |
| Persistence | ||
| T1505.003 | Server Software Component: Web Shell | Группа Bronze Union использовала различные веб-шеллы, включая ASPXTool, Antak и China Chopper |
| T1543.003 | Create or Modify System Process: Windows Service | ВПО Bronze Union может создавать новый сервис с именем, указанным в конфигурации, для закрепления в системе |
| T1547.001 | Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder | ВПО Bronze Union может закрепляться в системе через ключ реестра Software\Microsoft\Windows\CurrentVersion\Run |
| Privilege Escalation | ||
| T1068 | Exploitation for Privilege Escalation | Группа Bronze Union использовала уязвимость CVE-2014-6324 для повышения привилегий |
| T1548.002 | Abuse Elevation Control Mechanism: Bypass User Account Control | Группа Bronze Union использовала публичный метод обхода UAC для повышения привилегий |
| Defense Evasion | ||
| T1027 | Obfuscated Files or Information | ВПО Bronze Union может шифровать полезную нагрузку с помощью XOR, деобфусцировать вспомогательный код, закодированный с помощью shikata_ga_nai encoder, и распаковывать полезную нагрузку, которая была сжата по алгоритму LZNT1 |
| T1055.012 | Process Injection: Process Hollowing | ВПО Bronze Union может создавать процесс svchost.exe и внедрять в него полезную нагрузку |
| T1070.004 | Indicator Removal on Host: File Deletion | Группа Bronze Union удаляла существующие логи и собранные архивы с данными с машин жертвы |
| T1070.005 | Indicator Removal on Host: Network Share Connection Removal | Группа Bronze Union отключала сетевые папки после эксфильтрации файлов |
| T1112 | Modify Registry | ВПО Bronze Union может создавать новый ключ реестра в HKEY_CURRENT_USER\Software\Classes\ |
| T1140 | Deobfuscate/Decode Files or Information | Во время исполнения ВПО Bronze Union может деобфусцировать вспомогательный код, закодированный с помощью shikata_ga_nai encoder, и распаковывать полезную нагрузку, которая была сжата по алгоритму LZNT1 |
| T1562.002 | Impair Defenses: Disable Windows Event Logging | Группа Bronze Union использовала appcmd.exe для отключения логирования на сервере жертвы |
| T1564.001 | Hidden Files and Directories | Группа Bronze Union сохраняла собранную информацию в скрытых директориях и файлах |
| T1574.001 | Hijack Execution Flow: DLL Search Order Hijacking | Группа Bronze Union использовала технику DLL search order hijacking для исполнения полезной нагрузки |
| T1574.002 | Hijack Execution Flow: DLL Side-Loading | Группа Bronze Union использовала уязвимые к DLL side-loading легитимные исполняемые файлы (в частности, компоненты продуктов «Лаборатории Касперского», Symantec, ESET) для загрузки своих DLL. Эти DLL, в свою очередь, имеют функциональность загрузки и запуска на исполнение шеллкода |
| Credential Access | ||
| T1003.001 | OS Credential Dumping: LSASS Memory | Группа Bronze Union использовала Wrapikatz — модифицированную версию Mimikatz — для сбора учетных данных, в том числе с доменных контроллеров |
| T1003.002 | OS Credential Dumping: Security Account Manager | Группа Bronze Union использовала gsecdump для сбора учетных данных, в том числе с доменных контроллеров |
| T1003.004 | OS Credential Dumping: LSA Secrets | Группа Bronze Union использовала gsecdump для сбора учетных данных, в том числе с доменных контроллеров |
| T1056.003 | Input Capture: Web Portal Capture | Группа Bronze Union устанавливала код для логирования учетных данных на серверах Microsoft Exchange |
| Discovery | ||
| T1012 | Query Registry | ВПО Bronze Union может читать и расшифровывать сохраненные в реестре значения |
| T1016 | System Network Configuration Discovery | Группа Bronze Union использовала утилиту nbtscan для поиска уязвимых систем |
| T1018 | Remote System Discovery | Группа Bronze Union использовала команду net view |
| T1046 | Network Service Scanning | Группа Bronze Union использовала утилиту Hunter для обнаружения уязвимых сетевых сервисов |
| T1049 | System Network Connections Discovery | Группа Bronze Union использовала команду net use для внутреннего исследования сети, а также quser.exe для определения активных RDP-сессий на системе жертвы |
| T1082 | System Information Discovery | ВПО Bronze Union может собирать информацию о системе |
| T1083 | File and Directory Discovery | Группа BronzeUnion искала чуствительные документы с расширениями .pdf, .ppt, .xls, .doc |
| T1087.001 | Account Discovery: Local Account | Группа Bronze Union использовала команду net user для получения списка аккаунтов |
| T1120 | Peripheral Device Discovery | ВПО Bronze Union может искать съемные диски в системе |
| Lateral Movement | ||
| T1021.006 | Remote Services: Windows Remote Management | Группа Bronze Union использовала WinRM для получения удаленного доступа к скомпрометированным системам |
| T1210 | Exploitation of Remote Services | Группа Bronze Union эксплуатировала уязвимость MS17-010 для бокового перемещения на другие системы в сети |
| Collection | ||
| T1005 | Data from Local System | Группа Bronze Union запускала консольную команду для создания архива файлов интересующих типов из пользовательских директорий жертвы |
| T1056.001 | Input Capture: Keylogging | Группа Bronze Union использовала для захвата нажатий клавиш reconnaissance-фреймворк SanBox и соответствующую функциональность в ВПО LuckyBack |
| T1074.001 | Data Staged: Local Data Staging | Группа Bronze Union сохраняла зашифрованные архивы локально для дальнейшей эксфильтрации |
| T1074.002 | Data Staged: Remote Data Staging | Группа Bronze Union перемещала зашифрованные архивы на доступные через интернет серверы, ранее скомпрометированные с помощью China Chopper, для дальнейшей эксфильтрации |
| T1113 | Screen Capture | ВПО Bronze Union может поддерживать захват экрана |
| T1119 | Automated Collection | Группа Bronze Union запускала консольную команду для создания архива файлов интересующих типов из пользовательских директорий жертвы |
| T1560.001 | Archive Collected Data: Archive via Utility | Группа Bronze Union использовала RAR для сжатия и шифрования файлов с паролем перед их эксфильтрацией |
| Command And Control | ||
| T1071.001 | Application Layer Protocol: Web Protocols | ВПО Bronze Union может использовать протокол HTTP для взаимодействия с C2 |
| T1090.001 | Proxy: Internal Proxy | ВПО BronzeUnion (Polpo) может выступать как прокси |
| T1105 | Ingress Tool Transfer | После повторного установления доступа к сети жертвы группа Bronze Union скачивала инструменты (такие как gsecdump, WCE), которые временно хранились на скомпрометированных группой, но ранее не использовавшихся веб-сайтах |
| T1132.001 | Data Encoding: Standard Encoding | ВПО BronzeUnion (Polpo) кодирует шифрованные данные с помощью Base64 |
| T1573.001 | Encrypted Channel: Symmetric Cryptography | ВПО BronzeUnion (Polpo) шифрует передаваемые данные с помощью AES |
| Exfiltration | ||
| T1030 | Data Transfer Size Limits | Группа Bronze Union разделяла RAR-архивы для эксфильтрации на части |
| T1041 | Exfiltration Over C2 Channel | ВПО BronzeUnion (Polpo) передает собранные данные на C2-сервер |
| T1052.001 | Exfiltration Over Physical Medium: Exfiltration over USB | ВПО BronzeUnion (Information Collector) перемещает файлы внутри сети с помощью съемных дисков |
| T1567.002 | Exfiltration Over Web Service: Exfiltration to Cloud Storage | ВПО BronzeUnion (StartServiceTool) использует Dropbox для эксфильтрации собранных данных |
