APT1
APT, büyük şirketlerden ve devlet kurumlarından büyük miktarda veri çalmasıyla bilinen devlet destekli bir gruptu. Siber güvenlik araştırmalarıyla ortaya çıkarılmış olsa da, bu tehdit aktörünün taktiklerinin bugün hala kullanıldığı düşünülmektedir.
APT1'in kökeni
APT1 ilk olarak 2006 yılında gözlemlenmiş ve Çin Halk Kurtuluş Ordusu'na (PLA) atfedilmiştir. Dünyanın en üretken ulus-devlet saldırı gruplarından biri olan APT1, yedi yıl boyunca 140'tan fazla kuruluştan yüzlerce terabayt veri çalmak ve tespit edilmekten kaçınmak için sofistike teknikler kullanmıştır.
Grup, derinlemesine bir siber güvenlik araştırma raporu tarafından ifşa edildikten sonra saldırılarını azaltmaya başladığı Şubat 2013'e kadar faaliyet gösterdi. O zamandan beri güvenlik yazılımı şirketleri APT1'in orijinal tekniklerinden bazılarını yeniden kullanan saldırılar tespit etti.
Kaynaklar: Mandiant, SecurityWeek,.,OCD
Hedefler
APT1'in hedefleri
APT1 tarafından hedeflenen sektörler
APT1 muhtemelen devlet kurumları, küresel şirketler ve savunma müteahhitleri de dahil olmak üzere kritik altyapıya sahip geniş bir sektör yelpazesindeki kuruluşları hedef alan saldırıların arkasındaydı.
APT1 tarafından hedeflenen sektörler
APT1 muhtemelen devlet kurumları, küresel şirketler ve savunma müteahhitleri de dahil olmak üzere kritik altyapıya sahip geniş bir sektör yelpazesindeki kuruluşları hedef alan saldırıların arkasındaydı.
APT1 kurbanları
APT1'in en az 141 kuruluştan yüzlerce terabayt veri çaldığına inanılıyor ve bu da aynı anda düzinelerce kuruluştan çalma becerisini gösteriyor.
Kaynak Mandiant
Saldırı Yöntemi
APT1 saldırı yöntemi
APT1, bir ağ içinde yer edinmek için kötü amaçlı ekler veya bağlantılar içeren kimlik avı e-postaları kullanır.
Grup, güvenlik açıklarından faydalanmakta ve yüksek ayrıcalıklar elde etmek için Mimikatz gibi araçlar kullanmaktadır.
malware yasal süreçlerin adını vermek gibi maskeli taktikler kullanırlar.
APT1, Mimikatz gibi araçlar kullanarak LSASS belleğinden kimlik bilgilerini dökmüştür.
Gibi komutlar görev listesi, net kullanıcısıve ipconfig /all kurbanın ağını ve sistemini haritalamak için kullanılır.
RDP gibi araçlar, ağ içindeki sistemler arasında hareket etmelerini sağlar.
E-postaları ve diğer değerli dosyaları toplamak için GETMAIL gibi otomatik komut dosyaları ve araçlar kullanırlar.
APT1, otomasyon için Windows komut kabuğuna ve toplu komut dosyasına güvenmektedir.
Toplanan veriler genellikle dışarı sızmadan önce RAR kullanılarak sıkıştırılır.
APT1, sofistike kaçınma teknikleri sayesinde büyük miktarda fikri mülkiyeti çalmış ve on aylık bir süre zarfında tek bir kuruluştan 6,5 terabayta kadar sıkıştırılmış veri ele geçirmiştir.
İlk Erişim
APT1, bir ağ içinde yer edinmek için kötü amaçlı ekler veya bağlantılar içeren kimlik avı e-postaları kullanır.
Ayrıcalık Yükseltme
Grup, güvenlik açıklarından faydalanmakta ve yüksek ayrıcalıklar elde etmek için Mimikatz gibi araçlar kullanmaktadır.
Savunma Kaçırma
malware yasal süreçlerin adını vermek gibi maskeli taktikler kullanırlar.
Kimlik Bilgileri Erişimi
APT1, Mimikatz gibi araçlar kullanarak LSASS belleğinden kimlik bilgilerini dökmüştür.
Keşif
Gibi komutlar görev listesi, net kullanıcısıve ipconfig /all kurbanın ağını ve sistemini haritalamak için kullanılır.
Yanal Hareket
RDP gibi araçlar, ağ içindeki sistemler arasında hareket etmelerini sağlar.
Koleksiyon
E-postaları ve diğer değerli dosyaları toplamak için GETMAIL gibi otomatik komut dosyaları ve araçlar kullanırlar.
Yürütme
APT1, otomasyon için Windows komut kabuğuna ve toplu komut dosyasına güvenmektedir.
Sızma
Toplanan veriler genellikle dışarı sızmadan önce RAR kullanılarak sıkıştırılır.
Etki
APT1, sofistike kaçınma teknikleri sayesinde büyük miktarda fikri mülkiyeti çalmış ve on aylık bir süre zarfında tek bir kuruluştan 6,5 terabayta kadar sıkıştırılmış veri ele geçirmiştir.
MITRE ATT&CK Haritalama
APT1 TTP'leri
TA0001: Initial Access
T1566
Phishing
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
No items found.
TA0005: Defense Evasion
T1550
Use Alternate Authentication Material
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1087
Account Discovery
T1049
System Network Connections Discovery
T1016
System Network Configuration Discovery
TA0008: Lateral Movement
T1550
Use Alternate Authentication Material
T1021
Remote Services
TA0009: Collection
T1560
Archive Collected Data
T1119
Automated Collection
T1114
Email Collection
T1005
Data from Local System
TA0011: Command and Control
No items found.
TA0010: Exfiltration
No items found.
TA0040: Impact
No items found.
Platform Tespitleri
Vectra AI ile APT1 gibi tehditler nasıl tespit edilir?
Binlerce kurumsal kuruluş, saldırıları çok geç olmadan bulmak ve durdurmak için güçlü yapay zeka destekli tespitlere güveniyor.
Sıkça Sorulan Sorular
APT1 nedir?
APT1, Çin kökenli gelişmiş bir kalıcı tehdittir (APT). Çalınan veri miktarına dayanarak, tüm zamanların en üretken ulus devlet saldırı gruplarından biri olduğuna inanılıyor.
APT1'in arkasında kim var?
APT1'in Çin Halk Kurtuluş Ordusu (PLA) ile bağlantılı olduğu düşünülmektedir. Çin hükümetinin resmi bir kuruluşu olmasa bile, çoğu siber güvenlik araştırmacısı hükümetin en azından operasyonlarından haberdar olduğuna inanıyor.
APT1'in birincil hedefi nedir?
APT1, Çin'in stratejik çıkarlarına fayda sağlamak için fikri mülkiyet ve hassas verileri çalarak siber casusluğa odaklanmaktadır.
APT1 hangi araç ve teknikleri kullanıyor?
APT1, tespit edilmekten kaçınmak ve kurbanlarının ağlarında kalıcı bir varlık sürdürmek için gelişmiş taktikler, teknikler ve prosedürler (TTP'ler) kullanmasıyla bilinir. Bunlar, mızraklı phishing saldırılarından Uzak Masaüstü Protokolüne kadar uzanmaktadır.
APT1 genellikle bir ağda ne kadar süre kalır?
Kalıcılık tekniklerinden yararlanarak genellikle uzun süreler boyunca erişimi sürdürürler.
Hangi sektörler en büyük risk altında?
Havacılık, savunma ve telekomünikasyon APT1 için yüksek öncelikli hedeflerdir.
APT1'in operasyonlarında altyapının rolü nedir?
APT1 phishing, komuta ve kontrol ve veri sızıntısı için alan adlarını kaydeder ve ele geçirir.
Bir APT saldırısının sonuçları nelerdir?
Bir APT güvenlik önleme araçlarını atlattığında, saldırganlar ağda ilerlemek ve ayrıcalıklı hesaplara erişim sağlamak için son derece sofistike teknikler kullanır. APT1 özellikle tespit edilmekten kaçma konusunda yetenekliydi ve bu da grubun aylarca hatta yıllarca tespit edilmeden kalmasını sağladı. Bu da büyük miktarda veri çalınmasıyla sonuçlanır.
APT saldırılarını önlemenin en iyi yolu nedir?
100 önleme imkansız olsa da, güvenlik önlemleri APT saldırılarını uzak tutmaya yardımcı olabilir. Bunlar arasında güçlü parolaların zorunlu kılınması, çalışanların kimlik phishing tehlikeleri konusunda eğitilmesi ve kimlik doğrulama protokolleri yer alır.
Kurumlar APT saldırılarını nasıl tespit edebilir ve durdurabilir?
Bir APT saldırısı önleme araçlarınızı atlattığında, gerçek zamanlı tespit çok önemlidir. Saldırganları bulmanın ve durdurmanın en iyi yolu, en son taktikleri, teknikleri ve prosedürleri belirlemek ve yalnızca şüpheli etkinlikleri gerçek tehditlerden ayırmak için tasarlanmış yapay zeka odaklı tespitlerdir.