Boletín de ciberataques: Defensa contra el ransomware Codefinger en AWS S3 >

Boletín de ciberataques: Defensa contra el ransomware Codefinger en AWS S3 >

Vectra AI Japón、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icono de hamburguesa línea superior
Icono de hamburguesa línea media
Icono de hamburguesa línea inferior
cybercriminels
>
Estado-nación Actor

APT1

APT era un grupo patrocinado por el Estado conocido por robar cantidades masivas de datos de grandes corporaciones y agencias gubernamentales. Aunque la investigación en ciberseguridad ha sacado a la luz sus tácticas, se cree que siguen utilizándose en la actualidad.

Detectar las TTP de APT1
¿Está su organización a salvo de los ataques APT1?
Fondo
Objetivos
TTPs
Detección
Preguntas frecuentes
Ver sesión informativa sobre amenazas

El origen de APT1

APT1 se observó por primera vez en 2006, y se ha atribuido al Ejército Popular de Liberación (EPL) de China. Este grupo, uno de los más prolíficos del mundo, utilizó técnicas sofisticadas para eludir la detección y robar cientos de terabytes de datos de más de 140 organizaciones a lo largo de siete años.

El grupo operó hasta febrero de 2013, cuando empezó a reducir sus ataques tras quedar al descubierto por un informe de investigación en profundidad sobre ciberseguridad. Desde entonces, las empresas de software de seguridad han identificado ataques que reutilizan algunas de las técnicas originales de APT1.

Fuentes: Mandiant, SecurityWeek,,OCD

El origen de APT1
Objetivos

Objetivos de APT1

Países objetivo de APT1

Según Mandiant, la empresa responsable del informe que sacó a la luz APT1, el 87% de las empresas objetivo del grupo se encuentran en países de habla inglesa. En particular, está vinculado a hackeos con éxito de más de 100 empresas estadounidenses.

Fuentes: Mandiant, Wired

Industrias objetivo de APT1

Es probable que APT1 estuviera detrás de ataques dirigidos a organizaciones de una amplia gama de sectores con infraestructuras críticas, incluidos organismos gubernamentales, corporaciones globales y contratistas de defensa.

Industrias objetivo de APT1

Es probable que APT1 estuviera detrás de ataques dirigidos a organizaciones de una amplia gama de sectores con infraestructuras críticas, incluidos organismos gubernamentales, corporaciones globales y contratistas de defensa.

Víctimas de APT1

Se cree que APT1 ha robado cientos de terabytes de datos de al menos 141 organizaciones, lo que demuestra su capacidad para robar a docenas de organizaciones simultáneamente.

Fuente: Mandiant

Método de ataque

Método de ataque APT1

Acceso inicial
Escalada de privilegios
Defensa Evasión
Acceso con credenciales
Descubrimiento
Movimiento lateral
Colección
Ejecución
Exfiltración
Impacto
Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.

APT1 utiliza correos electrónicos de spearphishing que contienen archivos adjuntos o enlaces maliciosos para introducirse en una red.

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.

El grupo explota vulnerabilidades y utiliza herramientas como Mimikatz para obtener privilegios elevados.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.

Emplean tácticas de enmascaramiento, como dar a malware nombres de procesos legítimos.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.

APT1 ha volcado credenciales de la memoria de LSASS utilizando herramientas como Mimikatz.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.

Comandos como lista de tareas, usuario netoy ipconfig /all se utilizan para mapear la red y el sistema de la víctima.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.

Herramientas como RDP les permiten moverse entre sistemas dentro de la red.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.

Utilizan scripts automatizados y herramientas como GETMAIL para recopilar correos electrónicos y otros archivos valiosos.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.

APT1 se basa en el shell de comandos de Windows y en secuencias de comandos por lotes para la automatización.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.

Los datos recogidos suelen comprimirse mediante RAR antes de su exfiltración.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.

Las sofisticadas técnicas de evasión permitieron a APT1 robar grandes cantidades de propiedad intelectual, capturando hasta 6,5 terabytes de datos comprimidos de una sola organización en un periodo de diez meses.

Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.
Acceso inicial

APT1 utiliza correos electrónicos de spearphishing que contienen archivos adjuntos o enlaces maliciosos para introducirse en una red.

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.
Escalada de privilegios

El grupo explota vulnerabilidades y utiliza herramientas como Mimikatz para obtener privilegios elevados.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.
Defensa Evasión

Emplean tácticas de enmascaramiento, como dar a malware nombres de procesos legítimos.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.
Acceso con credenciales

APT1 ha volcado credenciales de la memoria de LSASS utilizando herramientas como Mimikatz.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.
Descubrimiento

Comandos como lista de tareas, usuario netoy ipconfig /all se utilizan para mapear la red y el sistema de la víctima.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.
Movimiento lateral

Herramientas como RDP les permiten moverse entre sistemas dentro de la red.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.
Colección

Utilizan scripts automatizados y herramientas como GETMAIL para recopilar correos electrónicos y otros archivos valiosos.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.
Ejecución

APT1 se basa en el shell de comandos de Windows y en secuencias de comandos por lotes para la automatización.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.
Exfiltración

Los datos recogidos suelen comprimirse mediante RAR antes de su exfiltración.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.
Impacto

Las sofisticadas técnicas de evasión permitieron a APT1 robar grandes cantidades de propiedad intelectual, capturando hasta 6,5 terabytes de datos comprimidos de una sola organización en un periodo de diez meses.

MITRE ATT&CK Cartografía

TTPs de APT1

TA0001: Initial Access
T1566
Phishing
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
No items found.
TA0005: Defense Evasion
T1550
Use Alternate Authentication Material
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1087
Account Discovery
T1049
System Network Connections Discovery
T1016
System Network Configuration Discovery
TA0008: Lateral Movement
T1550
Use Alternate Authentication Material
T1021
Remote Services
TA0009: Collection
T1560
Archive Collected Data
T1119
Automated Collection
T1114
Email Collection
T1005
Data from Local System
TA0011: Command and Control
No items found.
TA0010: Exfiltration
No items found.
TA0040: Impact
No items found.
Detección de plataformas

Cómo detectar amenazas como APT1 con Vectra AI

Miles de organizaciones empresariales confían en las potentes detecciones basadas en IA para encontrar y detener los ataques antes de que sea demasiado tarde.

RDP Recon

Suspicious Remote Desktop Protocol

Suspicious Remote Execution

Ver más detecciones
Evalúe su exposición a los ataques

Preguntas frecuentes

¿Qué es APT1?

APT1 es una amenaza persistente avanzada (APT) con orígenes en China. Se cree que es uno de los grupos de ataque de estado-nación más prolíficos de todos los tiempos, basándose en la gran cantidad de datos robados.

¿Quién está detrás de APT1?

Se cree que APT1 está vinculada al Ejército Popular de Liberación (EPL) de China. Aunque no fuera una entidad oficial del gobierno chino, la mayoría de los investigadores de ciberseguridad creen que el gobierno estaba al menos al tanto de sus operaciones.

¿Cuál es el objetivo principal de la APT1?

APT1 se centra en el ciberespionaje, robando propiedad intelectual y datos sensibles en beneficio de los intereses estratégicos de China.

¿Qué herramientas y técnicas utiliza APT1?

APT1 es conocida por utilizar tácticas, técnicas y procedimientos (TTP) avanzados para eludir la detección y mantener una presencia persistente en las redes de sus víctimas. Estas van desde ataques phishing selectivo hasta el protocolo de escritorio remoto.

¿Cuánto tiempo suele permanecer APT1 en una red?

A menudo mantienen el acceso durante largos periodos, aprovechando sus técnicas de persistencia.

¿Qué industrias corren mayor riesgo?

Los sectores aeroespacial, de defensa y de telecomunicaciones son objetivos prioritarios de APT1.

¿Qué papel desempeña la infraestructura en las operaciones de APT1?

APT1 registra y secuestra dominios para phishing, comando y control, y exfiltración de datos.

¿Cuáles son las implicaciones de un ataque APT?

Una vez que una APT elude las herramientas de prevención de seguridad, los atacantes utilizan técnicas muy sofisticadas para avanzar por la red y obtener acceso a cuentas privilegiadas. APT1 era especialmente hábil para eludir la detección, lo que permitió al grupo pasar desapercibido durante meses o incluso años. El resultado son cantidades ingentes de datos robados.

¿Cuál es la mejor manera de prevenir los ataques APT?

Aunque la prevención al 100% es imposible, las medidas de seguridad pueden ayudar a mantener a raya los ataques APT. Entre ellas están la aplicación de contraseñas seguras, la formación de los empleados sobre los peligros del phishing y los protocolos de autenticación.

¿Cómo pueden las organizaciones detectar y detener los ataques APT?

Una vez que un ataque APT elude sus herramientas de prevención, la detección en tiempo real es esencial. La mejor forma de encontrar y detener a los atacantes es con detecciones basadas en IA diseñadas para identificar las últimas tácticas, técnicas y procedimientos, y separar la actividad meramente sospechosa de las verdaderas amenazas.   

¿Está su organización a salvo de los ataques APT1?

Evalúe su exposición a los ataques