我们已经听到了很多消息高级持久威胁(APTS)在过去的几年里。作为一种进修,APTS延长了,旨在对特定目标的攻击,意图损害其系统并从中获取该目标的信息。
虽然目标可能是任何人或任何东西——个人、企业或其他组织——但apt通常与政府或军事行动有关,因为它们往往是拥有进行此类攻击所需资源的组织。从2013年Mandiant的APT1报告开始,针对单一民族国家的大规模黑客行为的曝光就一直在持续。
网络安全公司已经相对擅长于观察和分析民族国家威胁行动者的工具和策略;他们不太擅长将这些行动置于足够的背景下,让捍卫者做出可靠的风险评估。因此,我们将从更广阔的视角来审视几个APT集团,看看它们如何适应更大的威胁格局。
今天,我们来看看APT1。(注:这些组有许多不同的名称,但为了简单起见,我们将借用Mandiant对中国组的命名惯例。)
谁是APT1?
APT1已被各方确定为人民解放军的第61398股。他们是第一个被公开被公开被公开的小组之一,在Mandiant(现在由Fireeye)发布的一份报告,于2013年。APT1被指出,广泛和大容量集合,目标是大约150家主要讲英语的公司在报告时。
目标行业指出作为中国内部开发区12日5年计划与更熟悉的威胁组相比,APT 1的持久性(平均观察到的目标持久性为356天)和使用多个攻击向量攻击目标的能力显著。
恶意软件通常部署
众所周知,APT1部署了以下恶意软件:
- 毒药常春藤
- 通过矛粉线提供定制的后门
- Mimikatz.
- 海盐
注意:仅根据所部署的恶意软件来判定攻击是不恰当的。APT行动者不是在真空中操作;他们可以互相合作,也可以在行动周期结束后向其他组织出售恶意软件。
你应该担心吗?
可能不会。在发生了类似Mandiant报告这样的OPSEC灾难性的失败后,该组织以最初披露的形式存在的可能性非常小。该单位中特定威胁行为体的披露,以及该单位的物理位置和基础设施,侵蚀了他们的反间谍态势,因此如果没有重大变化,将很难继续网络操作。
2015年,奥巴马总统和习近平主席会晤讨论两国如何解决网络间谍活动。从那时起,广谱互补的APT1的收集以来已经有利于有利于有限的攻击,或者向高价值目标的服务提供商的上游靶向。如果您不属于明确的政府承包公司,大规模电信或向上述任何一个提供服务,您最有可能不会面临任何中国APT组的重大威胁。
他们接下来可能做什么?
可能并不多,由于政治优先事项变化,违反经验丰富的运营商的失败。但是,2018年10月,McAfee发布了一份关于从APT1后门重复使用的代码的报告被用来发动攻击反对美国,韩国和加拿大的目标。TTPS的差异表明这不是APT1操作,而是一项新的广告系列,它是从各种来源中重用旧代码的新活动。
考虑到APT1本身不再能够不受惩罚地运作,他们传播工具以更好的反情报姿态威胁行动者集团似乎是合理的。
评论