Russian
  • English
  • Korean
  • Техническая поддержка
  • Личный кабинет партнера
Positive Technologies
Russian
  • English
  • Korean
  • Решения
    Построение центра ГосСОПКА

    Комплексное решение для создания центра ГосСОПКА и взаимодействия с НКЦКИ

    Комплекс для раннего выявления сложных угроз

    Комплексное решение для раннего выявления и предотвращения целевых атак

    Безопасность объектов КИИ

    Система безопасности значимых объектов КИИ в соответствии с требованиями закона № 187-ФЗ

    PT Industrial Cybersecurity Suite

    Комплексная платформа для защиты промышленности от киберугроз

    Выполнение Указа № 250

    Выполнение требований Указа Президента РФ № 250

    Посмотреть все →
  • Продукты
    MaxPatrol 8

    Контроль защищенности и соответствия стандартам

    MaxPatrol SIEM

    Выявление инцидентов ИБ в реальном времени

    PT ISIM

    Управление инцидентами кибербезопасности АСУ ТП

    PT MultiScanner

    Многоуровневая защита от вредоносного ПО

    ПТ Ведомственный центр

    Управление инцидентами и взаимодействие с ГосСОПКА

    MaxPatrol SIEM All-in-One

    Полноценный SIEM для небольших инфраструктур

    MaxPatrol VM

    Система нового поколения для управления уязвимостями

    PT Network Attack Discovery

    Система анализа трафика (NTA) для выявления атак

    PT Application Firewall

    Защита приложений от веб-атак

    PT Application Inspector

    Анализатор защищенности приложений

    PT BlackBox

    Динамический анализатор приложений

    PT Platform 187

    Реализация основных требований 187-ФЗ для небольших инфраструктур

    XSpider

    Сканер уязвимостей

    PT Sandbox

    Первая песочница, которая защищает именно вашу инфраструктуру

    PT XDR

    Продукт класса Extended Detection and Response для выявления киберугроз и реагирования на них

    PT Threat Intelligence Feeds

    Фиды с экспертными знаниями об угрозах

    Посмотреть все →
  • Сервисы
    Непрерывный анализ защищенности бизнеса

    Услуги Positive Technologies по анализу защищенности бизнеса от киберугроз позволят непрерывно выявлять реальные векторы атак на вашу компанию и совершенствовать стратегию реагирования на инциденты

    Услуги PT Expert Security Center

    Экспертный центр безопасности Positive Technologies предоставляет услуги по обнаружению, реагированию и расследованию сложных инцидентов, а также по мониторингу защищенности корпоративных систем

    Исследование угроз и уязвимостей аппаратных решений

    Выявление аппаратных уязвимостей и закладок – один из самых сложных элементов в реализации зрелой стратегии безопасности. Эксперты Positive Technologies готовы оказать всестороннюю помощь в этом вопросе.

    Расширенная техническая поддержка

    Сделайте использование продуктов Positive Technologies еще более эффективным и приятным с расширенной технической поддержкой. Наши специалисты могут самостоятельно провести установку и настройку продуктов, оценить эффективность работы и в кратчайшие сроки разобраться с любым обращением от клиентов.

    Посмотреть все →
  • Исследования
    Аналитические статьи
    База знаний
    Словарь терминов ИБ
    Хакерские группировки
    PT ESC Threat Intelligence
    Блог
    Вебинары
    Уязвимости и угрозы
    Посмотреть все →
  • Партнеры
    Авторизованные партнеры
    Дистрибьюторы
    Технологические партнеры
    MSSP-партнеры
    Авторизованные учебные центры
    Стать партнером
    Вход в личный кабинет
    Посмотреть все →
  • О компании
    История
    Клиенты
    Долговые инструменты
    Пресс-центр
    Новости
    Мероприятия
    Вакансии
    Контакты
    Документация и материалы
    Эксперты
    Посмотреть все →
  • Инвесторам
Меню
  • Главная
  • Исследования
  • Хакерские группировки
  • Bronze Union

Bronze Union

Альтернативные названия: LuckyMouse, Emissary Panda, APT27, Iron Tiger, TG-3390, TEMP.Hippo, Group 35, ZipToken
Атакуемые отрасли:
  • Государственный сектор
  • Промышленный сектор
  • Информационные технологии
  • Авиационно-космическая промышленность
  • Образование
  • Военно-промышленный комплекс
  • Медиа
  • Аналитические центры

Содержание

  • Общее описание
  • Инструменты
  • Атакуемые отрасли
  • Атакуемые страны
  • Альтернативные названия группы
  • Отчеты Positive Technologies и других исследователей
  • Тактики из MITRE ATT&CK, использованные группой

Цели:

  • Шпионаж
  • Вымогательство денежных средств (?)

Общее описание

Bronze Union — APT-группировка, активная как минимум с 2010 года. По мнению различных исследователей, имеет китайское происхождение. Широко использует для начального проникновения техники «атаки на водопой» (watering hole), в частности заражение веб-сайтов, посещаемых жертвами, а также фишинг и уязвимости сетевых сервисов. Группа специализируется на кибершпионаже, преимущественно в сетях государственных учреждений, оборонных предприятий и политических организаций. В 2020 году некоторые исследователи (включая специалистов PT Expert Secutity Center) предположили появление у группы финансовой мотивации.

Инструменты

  • AspxSpy/ASPXTool webshell
  • Antak webshell
  • China Chopper webshell
  • Clambling
  • Dnstunclient
  • Gh0st RAT
  • HTran
  • HttpBrowser
  • Hunter
  • HyperBro
  • Mimikatz/Wrapikatz
  • NBTscan
  • OwaAuth
  • PlugX/Korplug
  • Polpo
  • PsExec
  • SysUpdate
  • TwoFace
  • Windows Credentials Editor
  • ZxShell
  • gsecdump
  • pwdump

Атакуемые отрасли

  • Авиационно-космическая промышленность
  • Аналитические центры
  • Военно-промышленный комплекс
  • Государственный сектор
  • Информационные технологии
  • Медиа
  • Образование
  • Промышленный сектор

Атакуемые страны

  • Австралия
  • Великобритания
  • Вьетнам
  • Гонконг
  • Израиль
  • Индия
  • Иран
  • Испания
  • Канада
  • Китай
  • Монголия
  • Россия
  • США
  • Тайвань
  • Таиланд
  • Тибет
  • Турция
  • Филлипины
  • Южная Корея
  • Япония

Альтернативные названия группы

  • LuckyMouse
  • Emissary Panda
  • APT27
  • Iron Tiger
  • TG-3390
  • TEMP.Hippo
  • Group 35
  • ZipToken

Отчеты Positive Technologies и других исследователей

  • https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/incident-response-polar-ransomware-apt27/
  • https://arstechnica.com/information-technology/2015/08/newly-discovered-chinese-hacking-group-hacked-100-websites-to-use-as-watering-holes/
  • https://github.com/CyberMonitor/APT_CyberCriminal_Campagin_Collections/blob/master/2015/2015.09.17.Operation_Iron_Tiger/wp-operation-iron-tiger.pdf
  • https://www.secureworks.com/research/threat-group-3390-targets-organizations-for-cyberespionage
  • https://www.secureworks.com/research/bronze-union
  • https://labs.bitdefender.com/2018/02/operation-pzchao-a-possible-return-of-the-iron-tiger-apt/
  • https://research.nccgroup.com/2018/05/18/emissary-panda-a-potential-new-malicious-tool/
  • https://securelist.com/luckymouse-hits-national-data-center/86083/
  • https://securelist.com/luckymouse-ndisproxy-driver/87914/
  • https://www.secureworks.com/research/a-peek-into-bronze-unions-toolbox
  • https://securelist.com/apt-trends-report-q1-2019/90643/
  • https://unit42.paloaltonetworks.com/emissary-panda-attacks-middle-east-government-sharepoint-servers/
  • https://shared-public-reports.s3-eu-west-1.amazonaws.com/APT27+turns+to+ransomware.pdf
  • https://www.welivesecurity.com/2020/12/10/luckymouse-ta428-compromise-able-desktop/
  • https://decoded.avast.io/luigicamastra/apt-group-targeting-governmental-agencies-in-east-asia/

Тактики из MITRE ATT&CK, использованные группой

ID Название Описание
Initial Access
T1078 Valid Accounts Группа Bronze Union разнообразными методами получала легитимные учетные данные и использовала их для дальнейшего бокового перемещения в сетях жертвы
T1133 External Remote Services Группа Bronze Union во время операции находила и использовала VPN-профили для доступа к сети с использованием внешних VPN-сервисов. Кроме того, группа в процессе вторжения получала учетные данные OWA, которые затем использовались для восстановления доступа к сети после его утраты
T1189 Drive-by Compromise Группа Bronze Union широко использовала стратегичесую компрометацию веб-сайтов (strategic web compromises) с целью заражения своих жертв
T1190 Exploit Public-Facing Application Группа Bronze Union эксплуатировала уязвимости сетевых сервисов в качестве основного вектора заражения
T1195.002 Supply Chain Compromise: Compromise Software Supply Chain Группа Bronze Union использовала инфицированные установщики, а также скомпрометированную систему обновления ПО Able Desktop для распространения своего ВПО
T1199 Trusted Relationship Для начального проникновения в организацию группа Bronze Union рассылала электронные письма со взломанных email-аккаунтов доверенной компании
T1566.001 Phishing: Spearphishing Attachment Группа Bronze Union рассылала целевые фишинговые письма c вложениями-приманками
Execution
T1047 Windows Management Instrumentation Группа Bronze Union использовала WMI для запуска своего ВПО
T1053.002 Scheduled Task/Job: At (Windows) Группа Bronze Union использовала команду at для планирования задач по исполнению SFX-RAR-архивов, устанавливающих ВПО HTTPBrowser или PlugX
T1059.001 Command and Scripting Interpreter: PowerShell Группа Bronze Union использовала PowerShell для исполнения команд
T1059.003 Command and Scripting Interpreter: Windows Command Shell Группа Bronze Union использовала командный интерпретатор для исполнения команд
T1106 Native API ВПО Bronze Union может использовать API CreateProcess и ShellExecute для запуска новых процессов
T1203 Exploitation for Client Execution Группа Bronze Union эксплуатировала уязвимости CVE-2019-0604 в Microsoft SharePoint, CVE-2017-11882 в Equation Editor
Execution
T1204.002 User Execution: Malicious File Зараженный ВПО Bronze Union установщик Able Desktop запускался на исполнение пользователем
Persistence
T1505.003 Server Software Component: Web Shell Группа Bronze Union использовала различные веб-шеллы, включая ASPXTool, Antak и China Chopper
T1543.003 Create or Modify System Process: Windows Service ВПО Bronze Union может создавать новый сервис с именем, указанным в конфигурации, для закрепления в системе
T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder ВПО Bronze Union может закрепляться в системе через ключ реестра Software\Microsoft\Windows\CurrentVersion\Run
Privilege Escalation
T1068 Exploitation for Privilege Escalation Группа Bronze Union использовала уязвимость CVE-2014-6324 для повышения привилегий
T1548.002 Abuse Elevation Control Mechanism: Bypass User Account Control Группа Bronze Union использовала публичный метод обхода UAC для повышения привилегий
Defense Evasion
T1027 Obfuscated Files or Information ВПО Bronze Union может шифровать полезную нагрузку с помощью XOR, деобфусцировать вспомогательный код, закодированный с помощью shikata_ga_nai encoder, и распаковывать полезную нагрузку, которая была сжата по алгоритму LZNT1
T1055.012 Process Injection: Process Hollowing ВПО Bronze Union может создавать процесс svchost.exe и внедрять в него полезную нагрузку
T1070.004 Indicator Removal on Host: File Deletion Группа Bronze Union удаляла существующие логи и собранные архивы с данными с машин жертвы
T1070.005 Indicator Removal on Host: Network Share Connection Removal Группа Bronze Union отключала сетевые папки после эксфильтрации файлов
T1112 Modify Registry ВПО Bronze Union может создавать новый ключ реестра в HKEY_CURRENT_USER\Software\Classes\
T1140 Deobfuscate/Decode Files or Information Во время исполнения ВПО Bronze Union может деобфусцировать вспомогательный код, закодированный с помощью shikata_ga_nai encoder, и распаковывать полезную нагрузку, которая была сжата по алгоритму LZNT1
T1562.002 Impair Defenses: Disable Windows Event Logging Группа Bronze Union использовала appcmd.exe для отключения логирования на сервере жертвы
T1564.001 Hidden Files and Directories Группа Bronze Union сохраняла собранную информацию в скрытых директориях и файлах
T1574.001 Hijack Execution Flow: DLL Search Order Hijacking Группа Bronze Union использовала технику DLL search order hijacking для исполнения полезной нагрузки
T1574.002 Hijack Execution Flow: DLL Side-Loading Группа Bronze Union использовала уязвимые к DLL side-loading легитимные исполняемые файлы (в частности, компоненты продуктов «Лаборатории Касперского», Symantec, ESET) для загрузки своих DLL. Эти DLL, в свою очередь, имеют функциональность загрузки и запуска на исполнение шеллкода
Credential Access
T1003.001 OS Credential Dumping: LSASS Memory Группа Bronze Union использовала Wrapikatz — модифицированную версию Mimikatz — для сбора учетных данных, в том числе с доменных контроллеров
T1003.002 OS Credential Dumping: Security Account Manager Группа Bronze Union использовала gsecdump для сбора учетных данных, в том числе с доменных контроллеров
T1003.004 OS Credential Dumping: LSA Secrets Группа Bronze Union использовала gsecdump для сбора учетных данных, в том числе с доменных контроллеров
T1056.003 Input Capture: Web Portal Capture Группа Bronze Union устанавливала код для логирования учетных данных на серверах Microsoft Exchange
Discovery
T1012 Query Registry ВПО Bronze Union может читать и расшифровывать сохраненные в реестре значения
T1016 System Network Configuration Discovery Группа Bronze Union использовала утилиту nbtscan для поиска уязвимых систем
T1018 Remote System Discovery Группа Bronze Union использовала команду net view
T1046 Network Service Scanning Группа Bronze Union использовала утилиту Hunter для обнаружения уязвимых сетевых сервисов
T1049 System Network Connections Discovery Группа Bronze Union использовала команду net use для внутреннего исследования сети, а также quser.exe для определения активных RDP-сессий на системе жертвы
T1082 System Information Discovery ВПО Bronze Union может собирать информацию о системе
T1083 File and Directory Discovery Группа BronzeUnion искала чуствительные документы с расширениями .pdf, .ppt, .xls, .doc
T1087.001 Account Discovery: Local Account Группа Bronze Union использовала команду net user для получения списка аккаунтов
T1120 Peripheral Device Discovery ВПО Bronze Union может искать съемные диски в системе
Lateral Movement
T1021.006 Remote Services: Windows Remote Management Группа Bronze Union использовала WinRM для получения удаленного доступа к скомпрометированным системам
T1210 Exploitation of Remote Services Группа Bronze Union эксплуатировала уязвимость MS17-010 для бокового перемещения на другие системы в сети
Collection
T1005 Data from Local System Группа Bronze Union запускала консольную команду для создания архива файлов интересующих типов из пользовательских директорий жертвы
T1056.001 Input Capture: Keylogging Группа Bronze Union использовала для захвата нажатий клавиш reconnaissance-фреймворк SanBox и соответствующую функциональность в ВПО LuckyBack
T1074.001 Data Staged: Local Data Staging Группа Bronze Union сохраняла зашифрованные архивы локально для дальнейшей эксфильтрации
T1074.002 Data Staged: Remote Data Staging Группа Bronze Union перемещала зашифрованные архивы на доступные через интернет серверы, ранее скомпрометированные с помощью China Chopper, для дальнейшей эксфильтрации
T1113 Screen Capture ВПО Bronze Union может поддерживать захват экрана
T1119 Automated Collection Группа Bronze Union запускала консольную команду для создания архива файлов интересующих типов из пользовательских директорий жертвы
T1560.001 Archive Collected Data: Archive via Utility Группа Bronze Union использовала RAR для сжатия и шифрования файлов с паролем перед их эксфильтрацией
Command And Control
T1071.001 Application Layer Protocol: Web Protocols ВПО Bronze Union может использовать протокол HTTP для взаимодействия с C2
T1090.001 Proxy: Internal Proxy ВПО BronzeUnion (Polpo) может выступать как прокси
T1105 Ingress Tool Transfer После повторного установления доступа к сети жертвы группа Bronze Union скачивала инструменты (такие как gsecdump, WCE), которые временно хранились на скомпрометированных группой, но ранее не использовавшихся веб-сайтах
T1132.001 Data Encoding: Standard Encoding ВПО BronzeUnion (Polpo) кодирует шифрованные данные с помощью Base64
T1573.001 Encrypted Channel: Symmetric Cryptography ВПО BronzeUnion (Polpo) шифрует передаваемые данные с помощью AES
Exfiltration
T1030 Data Transfer Size Limits Группа Bronze Union разделяла RAR-архивы для эксфильтрации на части
T1041 Exfiltration Over C2 Channel ВПО BronzeUnion (Polpo) передает собранные данные на C2-сервер
T1052.001 Exfiltration Over Physical Medium: Exfiltration over USB ВПО BronzeUnion (Information Collector) перемещает файлы внутри сети с помощью съемных дисков
T1567.002 Exfiltration Over Web Service: Exfiltration to Cloud Storage ВПО BronzeUnion (StartServiceTool) использует Dropbox для эксфильтрации собранных данных

Группировки, атакующие такие же отрасли:

  • APT31
  • APT32
  • Calypso
  • ChamelGang
  • CozyDuke
Поделиться:
Ссылка скопирована
Вернуться к выбору статей
Решения
  • Построение центра ГосСОПКА
  • Комплекс для раннего выявления сложных угроз
  • Безопасность объектов КИИ
  • PT Industrial Cybersecurity Suite
  • Выполнение Указа № 250
Продукты
  • MaxPatrol 8
  • MaxPatrol SIEM
  • PT ISIM
  • PT MultiScanner
  • ПТ Ведомственный центр
  • MaxPatrol SIEM All-in-One
  • MaxPatrol VM
  • PT Network Attack Discovery
  • PT Application Firewall
  • PT Application Inspector
  • PT BlackBox
  • PT Platform 187
  • XSpider
  • PT Sandbox
  • PT XDR
  • PT Threat Intelligence Feeds
Сервисы
  • Непрерывный анализ защищенности бизнеса
  • Услуги PT Expert Security Center
  • Исследование угроз и уязвимостей аппаратных решений
  • Расширенная техническая поддержка
Исследования
  • Аналитические статьи
  • База знаний
  • Словарь терминов ИБ
  • Хакерские группировки
  • PT ESC Threat Intelligence
  • Блог
  • Вебинары
  • Уязвимости и угрозы
Партнеры
  • Авторизованные партнеры
  • Дистрибьюторы
  • Технологические партнеры
  • MSSP-партнеры
  • Авторизованные учебные центры
  • Стать партнером
  • Вход в личный кабинет
О компании
  • История
  • Клиенты
  • Долговые инструменты
  • Пресс-центр
  • Новости
  • Мероприятия
  • Вакансии
  • Контакты
  • Документация и материалы
  • Эксперты
Инвесторам
Positive Technologies
© Positive Technologies, 2002—2023.
Мы в социальных сетях:
  • Сообщить об уязвимости
  • Справочный портал
  • Правила использования
  • Политика конфиденциальности
  • Политика использования файлов cookie
  • Юридическая информация
  • Информация в ленте Интерфакс
  • Карта сайта
© Positive Technologies, 2002—2023.
  • Сообщить об уязвимости
  • Справочный портал
  • Правила использования
  • Политика конфиденциальности
  • Политика использования файлов cookie
  • Юридическая информация
  • Информация в ленте Интерфакс
  • Карта сайта