APT1
APT, büyük şirketlerden ve devlet kurumlarından büyük miktarda veri çalmasıyla bilinen devlet destekli bir gruptu. Siber güvenlik araştırmalarıyla ortaya çıkarılmış olsa da, bu tehdit aktörünün taktiklerinin bugün hala kullanıldığı düşünülmektedir.
APT1'in kökeni
APT1 ilk olarak 2006 yılında gözlemlenmiş ve Çin Halk Kurtuluş Ordusu'na (PLA) atfedilmiştir. Dünyanın en üretken ulus-devlet saldırı gruplarından biri olan APT1, yedi yıl boyunca 140'tan fazla kuruluştan yüzlerce terabayt veri çalmak ve tespit edilmekten kaçınmak için sofistike teknikler kullanmıştır.
Grup, derinlemesine bir siber güvenlik araştırma raporu tarafından ifşa edildikten sonra saldırılarını azaltmaya başladığı Şubat 2013'e kadar faaliyet gösterdi. O zamandan beri güvenlik yazılımı şirketleri APT1'in orijinal tekniklerinden bazılarını yeniden kullanan saldırılar tespit etti.
Kaynaklar: Mandiant, SecurityWeek, OCD
APT1 tarafından hedeflenen sektörler
APT1 muhtemelen devlet kurumları, küresel şirketler ve savunma müteahhitleri de dahil olmak üzere kritik altyapıya sahip geniş bir sektör yelpazesindeki kuruluşları hedef alan saldırıların arkasındaydı.
APT1 kurbanları
APT1'in en az 141 kuruluştan yüzlerce terabayt veri çaldığına inanılıyor ve bu da aynı anda düzinelerce kuruluştan çalma becerisini gösteriyor.
Kaynak Mandiant
APT1 saldırı yöntemi
APT1, bir ağ içinde yer edinmek için kötü amaçlı ekler veya bağlantılar içeren kimlik avı e-postaları kullanır.
Grup, güvenlik açıklarından faydalanmakta ve yüksek ayrıcalıklar elde etmek için Mimikatz gibi araçlar kullanmaktadır.
malware yasal süreçlerin adını vermek gibi maskeli taktikler kullanırlar.
APT1, Mimikatz gibi araçlar kullanarak LSASS belleğinden kimlik bilgilerini dökmüştür.
Gibi komutlar görev listesi, net kullanıcısıve ipconfig /all kurbanın ağını ve sistemini haritalamak için kullanılır.
RDP gibi araçlar, ağ içindeki sistemler arasında hareket etmelerini sağlar.
E-postaları ve diğer değerli dosyaları toplamak için GETMAIL gibi otomatik komut dosyaları ve araçlar kullanırlar.
APT1, otomasyon için Windows komut kabuğuna ve toplu komut dosyasına güvenmektedir.
Toplanan veriler genellikle dışarı sızmadan önce RAR kullanılarak sıkıştırılır.
APT1, sofistike kaçınma teknikleri sayesinde büyük miktarda fikri mülkiyeti çalmış ve on aylık bir süre zarfında tek bir kuruluştan 6,5 terabayta kadar sıkıştırılmış veri ele geçirmiştir.
APT1, bir ağ içinde yer edinmek için kötü amaçlı ekler veya bağlantılar içeren kimlik avı e-postaları kullanır.
Grup, güvenlik açıklarından faydalanmakta ve yüksek ayrıcalıklar elde etmek için Mimikatz gibi araçlar kullanmaktadır.
malware yasal süreçlerin adını vermek gibi maskeli taktikler kullanırlar.
APT1, Mimikatz gibi araçlar kullanarak LSASS belleğinden kimlik bilgilerini dökmüştür.
Gibi komutlar görev listesi, net kullanıcısıve ipconfig /all kurbanın ağını ve sistemini haritalamak için kullanılır.
RDP gibi araçlar, ağ içindeki sistemler arasında hareket etmelerini sağlar.
E-postaları ve diğer değerli dosyaları toplamak için GETMAIL gibi otomatik komut dosyaları ve araçlar kullanırlar.
APT1, otomasyon için Windows komut kabuğuna ve toplu komut dosyasına güvenmektedir.
Toplanan veriler genellikle dışarı sızmadan önce RAR kullanılarak sıkıştırılır.
APT1, sofistike kaçınma teknikleri sayesinde büyük miktarda fikri mülkiyeti çalmış ve on aylık bir süre zarfında tek bir kuruluştan 6,5 terabayta kadar sıkıştırılmış veri ele geçirmiştir.
APT1 TTP'leri
Vectra AI ile APT1 gibi tehditler nasıl tespit edilir?
Binlerce kurumsal kuruluş, saldırıları çok geç olmadan bulmak ve durdurmak için güçlü yapay zeka destekli tespitlere güveniyor.
Sıkça Sorulan Sorular
APT1 nedir?
APT1, Çin kökenli gelişmiş bir kalıcı tehdittir (APT). Çalınan veri miktarına dayanarak, tüm zamanların en üretken ulus devlet saldırı gruplarından biri olduğuna inanılıyor.
APT1'in arkasında kim var?
APT1'in Çin Halk Kurtuluş Ordusu (PLA) ile bağlantılı olduğu düşünülmektedir. Çin hükümetinin resmi bir kuruluşu olmasa bile, çoğu siber güvenlik araştırmacısı hükümetin en azından operasyonlarından haberdar olduğuna inanıyor.
APT1'in birincil hedefi nedir?
APT1, Çin'in stratejik çıkarlarına fayda sağlamak için fikri mülkiyet ve hassas verileri çalarak siber casusluğa odaklanmaktadır.
APT1 hangi araç ve teknikleri kullanıyor?
APT1, tespit edilmekten kaçınmak ve kurbanlarının ağlarında kalıcı bir varlık sürdürmek için gelişmiş taktikler, teknikler ve prosedürler (TTP'ler) kullanmasıyla bilinir. Bunlar, mızraklı phishing saldırılarından Uzak Masaüstü Protokolüne kadar uzanmaktadır.
APT1 genellikle bir ağda ne kadar süre kalır?
Kalıcılık tekniklerinden yararlanarak genellikle uzun süreler boyunca erişimi sürdürürler.
Hangi sektörler en büyük risk altında?
Havacılık, savunma ve telekomünikasyon APT1 için yüksek öncelikli hedeflerdir.
APT1'in operasyonlarında altyapının rolü nedir?
APT1 phishing, komuta ve kontrol ve veri sızıntısı için alan adlarını kaydeder ve ele geçirir.
Bir APT saldırısının sonuçları nelerdir?
Bir APT güvenlik önleme araçlarını atlattığında, saldırganlar ağda ilerlemek ve ayrıcalıklı hesaplara erişim sağlamak için son derece sofistike teknikler kullanır. APT1 özellikle tespit edilmekten kaçma konusunda yetenekliydi ve bu da grubun aylarca hatta yıllarca tespit edilmeden kalmasını sağladı. Bu da büyük miktarda veri çalınmasıyla sonuçlanır.
APT saldırılarını önlemenin en iyi yolu nedir?
100 önleme imkansız olsa da, güvenlik önlemleri APT saldırılarını uzak tutmaya yardımcı olabilir. Bunlar arasında güçlü parolaların zorunlu kılınması, çalışanların kimlik phishing tehlikeleri konusunda eğitilmesi ve kimlik doğrulama protokolleri yer alır.
Kurumlar APT saldırılarını nasıl tespit edebilir ve durdurabilir?
Bir APT saldırısı önleme araçlarınızı atlattığında, gerçek zamanlı tespit çok önemlidir. Saldırganları bulmanın ve durdurmanın en iyi yolu, en son taktikleri, teknikleri ve prosedürleri belirlemek ve yalnızca şüpheli etkinlikleri gerçek tehditlerden ayırmak için tasarlanmış yapay zeka odaklı tespitlerdir.