APT1

APT era un grupo patrocinado por el Estado conocido por robar cantidades masivas de datos de grandes corporaciones y agencias gubernamentales. Aunque la investigación en ciberseguridad ha sacado a la luz sus tácticas, se cree que siguen utilizándose en la actualidad.

¿Está su organización a salvo de los ataques APT1?

El origen de APT1

APT1 se observó por primera vez en 2006, y se ha atribuido al Ejército Popular de Liberación (EPL) de China. Este grupo, uno de los más prolíficos del mundo, utilizó técnicas sofisticadas para eludir la detección y robar cientos de terabytes de datos de más de 140 organizaciones a lo largo de siete años.

El grupo operó hasta febrero de 2013, cuando empezó a reducir sus ataques tras quedar al descubierto por un informe de investigación en profundidad sobre ciberseguridad. Desde entonces, las empresas de software de seguridad han identificado ataques que reutilizan algunas de las técnicas originales de APT1.

Fuentes: Mandiant, SecurityWeek, OCD

Países objetivo de APT1

Según Mandiant, la empresa responsable del informe que sacó a la luz APT1, el 87% de las empresas objetivo del grupo se encuentran en países de habla inglesa. En particular, está vinculado a hackeos con éxito de más de 100 empresas estadounidenses.

Fuentes: Mandiant, Wired

Industrias objetivo de APT1

Es probable que APT1 estuviera detrás de ataques dirigidos a organizaciones de una amplia gama de sectores con infraestructuras críticas, incluidos organismos gubernamentales, corporaciones globales y contratistas de defensa.

Víctimas de APT1

Se cree que APT1 ha robado cientos de terabytes de datos de al menos 141 organizaciones, lo que demuestra su capacidad para robar a docenas de organizaciones simultáneamente.

Fuente: Mandiant

Método de ataque

Método de ataque APT1

Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.

APT1 utiliza correos electrónicos de spearphishing que contienen archivos adjuntos o enlaces maliciosos para introducirse en una red.

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.

El grupo explota vulnerabilidades y utiliza herramientas como Mimikatz para obtener privilegios elevados.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.

Emplean tácticas de enmascaramiento, como dar a malware nombres de procesos legítimos.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.

APT1 ha volcado credenciales de la memoria de LSASS utilizando herramientas como Mimikatz.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.

Comandos como lista de tareas, usuario netoy ipconfig /all se utilizan para mapear la red y el sistema de la víctima.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.

Herramientas como RDP les permiten moverse entre sistemas dentro de la red.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.

Utilizan scripts automatizados y herramientas como GETMAIL para recopilar correos electrónicos y otros archivos valiosos.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.

APT1 se basa en el shell de comandos de Windows y en secuencias de comandos por lotes para la automatización.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.

Los datos recogidos suelen comprimirse mediante RAR antes de su exfiltración.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.

Las sofisticadas técnicas de evasión permitieron a APT1 robar grandes cantidades de propiedad intelectual, capturando hasta 6,5 terabytes de datos comprimidos de una sola organización en un periodo de diez meses.

Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.
Acceso inicial

APT1 utiliza correos electrónicos de spearphishing que contienen archivos adjuntos o enlaces maliciosos para introducirse en una red.

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.
Escalada de privilegios

El grupo explota vulnerabilidades y utiliza herramientas como Mimikatz para obtener privilegios elevados.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.
Defensa Evasión

Emplean tácticas de enmascaramiento, como dar a malware nombres de procesos legítimos.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.
Acceso con credenciales

APT1 ha volcado credenciales de la memoria de LSASS utilizando herramientas como Mimikatz.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.
Descubrimiento

Comandos como lista de tareas, usuario netoy ipconfig /all se utilizan para mapear la red y el sistema de la víctima.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.
Movimiento lateral

Herramientas como RDP les permiten moverse entre sistemas dentro de la red.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.
Colección

Utilizan scripts automatizados y herramientas como GETMAIL para recopilar correos electrónicos y otros archivos valiosos.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.
Ejecución

APT1 se basa en el shell de comandos de Windows y en secuencias de comandos por lotes para la automatización.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.
Exfiltración

Los datos recogidos suelen comprimirse mediante RAR antes de su exfiltración.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.
Impacto

Las sofisticadas técnicas de evasión permitieron a APT1 robar grandes cantidades de propiedad intelectual, capturando hasta 6,5 terabytes de datos comprimidos de una sola organización en un periodo de diez meses.

MITRE ATT&CK Cartografía

TTPs de APT1

TA0001: Initial Access
T1566
Phishing
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
No items found.
TA0005: Defense Evasion
T1550
Use Alternate Authentication Material
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1087
Account Discovery
T1049
System Network Connections Discovery
T1016
System Network Configuration Discovery
TA0008: Lateral Movement
T1550
Use Alternate Authentication Material
T1021
Remote Services
TA0009: Collection
T1560
Archive Collected Data
T1119
Automated Collection
T1114
Email Collection
TA0011: Command and Control
No items found.
TA0010: Exfiltration
No items found.
TA0040: Impact
No items found.
Detección de plataformas

Cómo detectar amenazas como APT1 con Vectra AI

Miles de organizaciones empresariales confían en las potentes detecciones basadas en IA para encontrar y detener los ataques antes de que sea demasiado tarde.

Preguntas frecuentes

¿Qué es APT1?

¿Quién está detrás de APT1?

¿Cuál es el objetivo principal de la APT1?

¿Qué herramientas y técnicas utiliza APT1?

¿Cuánto tiempo suele permanecer APT1 en una red?

¿Qué industrias corren mayor riesgo?

¿Qué papel desempeña la infraestructura en las operaciones de APT1?

¿Cuáles son las implicaciones de un ataque APT?

¿Cuál es la mejor manera de prevenir los ataques APT?

¿Cómo pueden las organizaciones detectar y detener los ataques APT?