Cyberattacke-Bulletin: Verteidigung gegen Codefinger Ransomware in AWS S3 >

Cyberattacke-Bulletin: Verteidigung gegen Codefinger Ransomware in AWS S3 >

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Hamburger-Symbol oberste Zeile
Hamburger-Symbol mittlere Zeile
Hamburger Symbol unterste Zeile
cybercriminels
>
Nation-Staat-Akteur

APT1

APT war eine staatlich gesponserte Gruppe, die dafür bekannt war, große Datenmengen von großen Unternehmen und Regierungsbehörden zu stehlen. Obwohl sie durch Cybersecurity-Forschung aufgedeckt wurde, geht man davon aus, dass die Taktiken dieser Bedrohungsakteure auch heute noch angewandt werden.

Die TTPs von APT1 aufspüren
Ist Ihr Unternehmen vor APT1-Angriffen sicher?
Hintergrund
Ziele
TTPs
Erkennung
Häufig gestellte Fragen
Watch Threat Briefing

Der Ursprung von APT1

APT1 wurde erstmals im Jahr 2006 beobachtet und wird der chinesischen Volksbefreiungsarmee (PLA) zugeschrieben. Als eine der weltweit produktivsten nationalstaatlichen Angriffsgruppen nutzte sie ausgeklügelte Techniken, um sich der Entdeckung zu entziehen und im Laufe von sieben Jahren Hunderte von Terabytes an Daten von mehr als 140 Organisationen zu stehlen.

Die Gruppe operierte bis Februar 2013, als sie ihre Angriffe einschränkte, nachdem sie durch einen ausführlichen Bericht über Cybersicherheitsforschung aufgedeckt worden war. Seitdem haben Unternehmen für Sicherheitssoftware Angriffe identifiziert, bei denen einige der ursprünglichen Techniken von APT1 wiederverwendet wurden.

Quellen: Mandiant, SecurityWeek,,OCD

Der Ursprung von APT1
Ziele

Die Ziele von APT1

Länder im Visier von APT1

Laut Mandiant, dem Unternehmen hinter dem Bericht, der APT1 aufdeckte, befinden sich 87 % der von der Gruppe angegriffenen Unternehmen in englischsprachigen Ländern. Besonders erwähnenswert ist, dass die Gruppe mit erfolgreichen Hacks von mehr als 100 US-Unternehmen in Verbindung gebracht wurde.

Quellen: Mandiant, Verkabelt

Von APT1 anvisierte Branchen

APT1 steckte wahrscheinlich hinter Angriffen auf Organisationen in einer Vielzahl von Branchen mit kritischer Infrastruktur, darunter Regierungsbehörden, globale Unternehmen und Verteidigungsunternehmen.

Von APT1 anvisierte Branchen

APT1 steckte wahrscheinlich hinter Angriffen auf Organisationen in einer Vielzahl von Branchen mit kritischer Infrastruktur, darunter Regierungsbehörden, globale Unternehmen und Verteidigungsunternehmen.

APT1-Opfer

Es wird vermutet, dass APT1 Hunderte von Terabyte an Daten von mindestens 141 Organisationen gestohlen hat, was beweist, dass sie in der Lage sind, Dutzende von Organisationen gleichzeitig zu bestehlen.

Quelle: Mandiant

Angriffsmethode

APT1-Angriffsmethode

Erster Zugang
Rechte-Eskalation
Verteidigung Umgehung
Zugang zu Anmeldeinformationen
Entdeckung
Seitliche Bewegung
Sammlung
Ausführung
Exfiltration
Auswirkungen
Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.

APT1 verwendet Spearphishing-E-Mails mit bösartigen Anhängen oder Links, um in einem Netzwerk Fuß zu fassen.

Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.

Die Gruppe nutzt Schwachstellen aus und verwendet Tools wie Mimikatz, um sich erweiterte Rechte zu verschaffen.

Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.

Sie verwenden Maskierungstaktiken, wie z. B. die Benennung von malware nach legitimen Prozessen.

Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.

APT1 hat mit Tools wie Mimikatz Anmeldedaten aus dem LSASS-Speicher entnommen.

Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.

Befehle wie tasklist, Netznutzerund ipconfig /all werden verwendet, um das Netzwerk und das System des Opfers abzubilden.

Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.

Tools wie RDP ermöglichen es ihnen, sich innerhalb des Netzwerks zwischen den Systemen zu bewegen.

Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.

Sie verwenden automatisierte Skripte und Tools wie GETMAIL, um E-Mails und andere wertvolle Dateien zu sammeln.

Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.

APT1 nutzt die Windows-Befehlsshell und Batch-Skripte zur Automatisierung.

Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.

Die gesammelten Daten werden vor der Exfiltration häufig mit RAR komprimiert.

Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.

Durch ausgefeilte Umgehungstechniken konnte APT1 große Mengen an geistigem Eigentum stehlen und über einen Zeitraum von zehn Monaten bis zu 6,5 Terabyte an komprimierten Daten von einer einzigen Organisation erbeuten.

Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.
Erster Zugang

APT1 verwendet Spearphishing-E-Mails mit bösartigen Anhängen oder Links, um in einem Netzwerk Fuß zu fassen.

Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.
Rechte-Eskalation

Die Gruppe nutzt Schwachstellen aus und verwendet Tools wie Mimikatz, um sich erweiterte Rechte zu verschaffen.

Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.
Verteidigung Umgehung

Sie verwenden Maskierungstaktiken, wie z. B. die Benennung von malware nach legitimen Prozessen.

Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.
Zugang zu Anmeldeinformationen

APT1 hat mit Tools wie Mimikatz Anmeldedaten aus dem LSASS-Speicher entnommen.

Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.
Entdeckung

Befehle wie tasklist, Netznutzerund ipconfig /all werden verwendet, um das Netzwerk und das System des Opfers abzubilden.

Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.
Seitliche Bewegung

Tools wie RDP ermöglichen es ihnen, sich innerhalb des Netzwerks zwischen den Systemen zu bewegen.

Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.
Sammlung

Sie verwenden automatisierte Skripte und Tools wie GETMAIL, um E-Mails und andere wertvolle Dateien zu sammeln.

Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.
Ausführung

APT1 nutzt die Windows-Befehlsshell und Batch-Skripte zur Automatisierung.

Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.
Exfiltration

Die gesammelten Daten werden vor der Exfiltration häufig mit RAR komprimiert.

Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.
Auswirkungen

Durch ausgefeilte Umgehungstechniken konnte APT1 große Mengen an geistigem Eigentum stehlen und über einen Zeitraum von zehn Monaten bis zu 6,5 Terabyte an komprimierten Daten von einer einzigen Organisation erbeuten.

MITRE ATT&CK Kartierung

APT1 TTPs

TA0001: Initial Access
T1566
Phishing
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
No items found.
TA0005: Defense Evasion
T1550
Use Alternate Authentication Material
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1087
Account Discovery
T1049
System Network Connections Discovery
T1016
System Network Configuration Discovery
TA0008: Lateral Movement
T1550
Use Alternate Authentication Material
T1021
Remote Services
TA0009: Collection
T1560
Archive Collected Data
T1119
Automated Collection
T1114
Email Collection
T1005
Data from Local System
TA0011: Command and Control
No items found.
TA0010: Exfiltration
No items found.
TA0040: Impact
No items found.
Plattform-Detektionen

Wie man Bedrohungen wie APT1 mit Vectra AI AI erkennt

Tausende von Unternehmen verlassen sich auf leistungsstarke KI-gestützte Erkennungsfunktionen, um Angriffe zu erkennen und zu stoppen, bevor es zu spät ist.

RDP Recon

Suspicious Remote Desktop Protocol

Suspicious Remote Execution

Weitere Entdeckungen anzeigen
Bewerten Sie Ihr Angriffsrisiko

Häufig gestellte Fragen

Was ist APT1?

APT1 ist eine hochentwickelte, anhaltende Bedrohung (Advanced Persistent Threat, APT) mit Ursprung in China. Es wird angenommen, dass es sich um eine der produktivsten nationalstaatlichen Angriffsgruppen aller Zeiten handelt, basierend auf der schieren Menge der gestohlenen Daten.

Wer steckt hinter APT1?

Es wird vermutet, dass APT1 mit der chinesischen Volksbefreiungsarmee (People's Liberation Army, PLA) in Verbindung steht. Auch wenn es sich nicht um eine offizielle Einrichtung der chinesischen Regierung handelte, glauben die meisten Cybersecurity-Forscher, dass die Regierung zumindest von den Aktivitäten wusste.

Was ist das Hauptziel der APT1?

APT1 konzentriert sich auf Cyberspionage, den Diebstahl von geistigem Eigentum und sensiblen Daten zum Nutzen der strategischen Interessen Chinas.

Welche Instrumente und Techniken verwendet APT1?

APT1 ist dafür bekannt, dass sie fortschrittliche Taktiken, Techniken und Verfahren (TTPs) einsetzt, um sich der Entdeckung zu entziehen und eine dauerhafte Präsenz in den Netzwerken ihrer Opfer aufrechtzuerhalten. Diese reichen von phishing bis hin zum Remote Desktop Protocol.

Wie lange bleibt APT1 typischerweise in einem Netz?

Sie halten den Zugang oft über längere Zeiträume aufrecht, indem sie ihre Persistenztechniken nutzen.

Welche Branchen sind am stärksten gefährdet?

Luft- und Raumfahrt, Verteidigung und Telekommunikation sind vorrangige Ziele für APT1.

Welche Rolle spielt die Infrastruktur bei den Operationen von APT1?

APT1 registriert und kapert Domains für phishing, Command and Control und Datenexfiltration.

Was sind die Folgen eines APT-Angriffs?

Sobald eine APT die Sicherheitsmaßnahmen umgeht, verwenden die Angreifer hochentwickelte Techniken, um sich im Netzwerk zu bewegen und Zugang zu privilegierten Konten zu erhalten. APT1 war besonders geschickt darin, sich der Entdeckung zu entziehen, so dass die Gruppe über Monate oder sogar Jahre unentdeckt bleiben konnte. Das Ergebnis sind riesige Mengen an gestohlenen Daten.

Wie lassen sich APT-Angriffe am besten verhindern?

Obwohl eine 100-prozentige Prävention unmöglich ist, können Sicherheitsmaßnahmen dazu beitragen, APT-Angriffe in Schach zu halten. Dazu gehören das Erzwingen starker Passwörter, die Schulung von Mitarbeitern über die Gefahren von phishing und Authentifizierungsprotokolle.

Wie können Unternehmen APT-Angriffe erkennen und stoppen?

Sobald ein APT-Angriff Ihre Präventionsmaßnahmen umgeht, ist eine Erkennung in Echtzeit unerlässlich. Der beste Weg, um Angreifer zu finden und zu stoppen, sind KI-gesteuerte Erkennungen, die die neuesten Taktiken, Techniken und Verfahren identifizieren und lediglich verdächtige Aktivitäten von echten Bedrohungen unterscheiden können.   

Ist Ihr Unternehmen vor APT1-Angriffen sicher?

Bewerten Sie Ihr Angriffsrisiko