Diğer Adlar:
· ATK15
· BRONZE UNION
· EMISSARY PANDA
· GROUP 35
· HIPPOTEAM
· IRON TIGER
· LUCKYMOUSE
· TEMPHIPPO
· TG-3390
· THREAT GRUP-3390
· ZIPTOKEN
Hedef Aldıkları Sektörler: Havacılık, Haberleşme, Deniz Kuvvetleri, Savunma, Devlet Kurumları, İmalat, Siyasi Organizasyonlar, Eğitim
Motivasyonlar ve Hedefler:
· Siber Espiyonaj
APT27, 2009'dan beri aktif olan bir siber casusluk grubudur (TrendMicro tarafından 25 Kasım 2009'da tespit edilen ilk spearphishing saldırısı.)
Kullanılan Araçlar, Zararlı Yazılımlar ve Sömürülen Zaafiyetler
Zararlı Yazılımlar | Sömürülen Zaafiyetler | Diğer Yazılımlar |
Aspsxpy Httpbrowser Owaauth |
| Gsecdump Windows credential editor |
Hedef Aldığı Ülkeler: Türkiye, İspanya, ABD, İngiltere, Orta Asya, Çin, Hong Kong, Filipinler, Tibet
Kampanyalar
25 Kasım 2009 – 25 Ocak 2011 – Birçok sektöre yönelik spear phishing saldırısı gerçekleştirilmiştir. (basın, siyasi organizasyonlar, eğitim, devlet kurumları, imalat, teknoloji, kar amacı gütmeyen kuruluşlar …)
23 Nisan 2013 - Tayvan'ın devlet kurumlarına yönelik aldatıcı belgeler içeren spear phishing kampanyası yürütmüştür.
9 Mayıs 2014 – Devlet kurumlarına yönelik spear phishing saldırısı
5 Eylül – 12 Ekim 2014: Teknoloji şirketlerinin haberleşmesine spear phishing saldırısı.
Iron Tiger Operasyonu: APT27 ilk olarak Çin'deki eğitim endüstrisindeki hedeflere, Hong Kong'daki siyasi muhaliflere, Filipinler'deki hükümet kurumlarına ve Tibet'teki siyasi hedeflere 2010 yılına kadar saldırdı.
Saldırganlar çok önemli kişileri (VIP'ler), mühendisleri ve / veya halkla ilişkiler (PR) veya iletişim görevlilerini takip ettiler. 2013'te Iron Tiger operasyonuyla hedefleri değişti. Saldırganlar, siber casusluk istismarlarını gerçekleştirdikten sonra, havacılık, enerji, istihbarat, nükleer mühendislik ve telekomünikasyon gibi savunma ve teknolojiyle ilgili alanlara odaklandı. Saldırganlar, ABD hükümetinin yüksek teknoloji anlaşmalı taraflarını sürekli izliyor gibi görünüyor.
2016: Dünya çapındaki havacılık, akademik, medya, teknoloji, hükümet ve kamu kuruluşlarını etkileyen uluslararası bir endüstri kuruluşunun web sitesinde stratejik bir web uzlaşması (SWC: Strategic Web Compromise) gerçekleştirdi. Ayrı bir faaliyet dönemi boyunca, bu SWC özellikle Türk hükümetini, bankacılığı ve akademik ağları hedeflemek için kullanıldı.
2017 Sonbahar – 2018 Mart: Orta Asya’daki ulusal veri merkezlerini hedefleyen kampanya gerçekleştirildi.
Taktik ve Teknikler (MITRE ATT&CK Framework
Initial Access
T1078 - Valid Accounts
T1133 - External Remote Services
Execution
T1021.006 - Remote Services: Windows Remote Management
T1053.005 – Scheduled Task/Job: Scheduled Task
T1059 - Command and Scripting Interpreter
T1059.001 - Command and Scripting Interpreter: PowerShell
Persistence
T1053.005 – Scheduled Task/Job: Scheduled Task
T1078 - Valid Accounts
T1133 - External Remote Services
Privilege Escalation
T1053.005 – Scheduled Task/Job: Scheduled Task
T1068 - Exploitation for Privilege Escalation
T1078 - Valid Accounts
Defense Evasion
T1073 - DLL Side-Loading
T1078 - Valid Accounts
T1089 - Disabling Security Tools
T1070.004 - Indicator Removal on Host: File Deletion
T1126 - Network Share Connection
Removal
Credential Access
T1003 – OS Credential Dumping
T1056 - Input Capture
Discovery
T1016 - System Network Configuration Discovery
T1046 - Network Service Scanning
T1049 - System Network Connections Discovery
T1087 - Account Discovery
Lateral Movement
T1021.006 - Remote Services: Windows Remote Management
T1544 - Remote File Copy
Collection
T1005 - Data from Local System
T1056 - Input Capture
T1074 - Data Staged
T1119 - Automated Collection
Command and Control
T1043 - Commonly Used Port
T1544 - Remote File Copy
Exfiltration
T1560 - Archive Collected Data
T1022 - Data Encrypted
T1030 - Data Transfer Size Limits
0 Yorumlar