Тактики, методи та процедури APT35: як вони працюють і як захистити Windows

  • APT35 вирізняється надійним фішингом, крадіжкою облікових даних та стійкістю до атак у Windows.
  • APT поєднують вторгнення, латеральне переміщення та замасковану евакуацію з прихованістю C2.
  • EDR/XDR, сегментація, встановлення патчів та телеметрія мережі/кінцевих точок є критичними бар'єрами.
Pablo

11 хвилин

APT35 Кібербезпека у Windows

У сучасному світі загроз мало хто з супротивників є настільки наполегливими та прихованими, як APT35. Цей актор, також відомий як кошеня Хелікс або чарівне кошеняКомпанія [Назва компанії] здобула репутацію завдяки добре дослідженим цілеспрямованим фішинговим кампаніям, крадіжці особистих даних та довготривалій присутності в корпоративному середовищі. Якщо ви працюєте з Windows в організації, розуміння її тактик, методів та процедур (TTP) є ключовим для [Операційної безпеки]. зменшити поверхню атаки та вчасно реагувати.

Хоча їх часто сприймають як атаки, схожі на фільми, передові постійні загрози не є науковою фантастикою. Це методичні, багаторівневі та терплячі операції.Ці атаки розроблені для проникнення, непомітного вилучення цінних даних у відповідний момент. APT35 відповідає цьому профілю: правдоподібні фішингові кампанії, замаскована інфраструктура командування та управління, а також сильна здатність адаптувати свої методи, коли жертва посилює свій захист.

Що таке APT і чому APT35 викликає особливе занепокоєння у Windows?

Запущена постійна загроза — це тривала атака, в якій противник отримує несанкціонований доступ і зберігає його в таємниці красти інформацію, контролювати операції або спричиняти збої, коли їм це зручно. На відміну від «масового» шкідливого програмного забезпечення, APT не працюють масово; вони орієнтуються на конкретні цілі та вивчають своє середовище, перш ніж рухатися.

У Windows APT35 часто відкриває двері за допомогою соціальної інженерії: Ретельно розроблені електронні листи для фішингуклоновані сторінки облікових данихПідроблені запрошення на конференції чи академічні заходи, а також шахрайство, яке обманом змушує жертву запустити код або передати токени. Усередині основна увага приділяється збереженню даних: бекдори, зловживання обліковими даними та прихований латеральний рух.

Хто стоїть за APT і як APT35 вписується в це питання?

APT зазвичай підтримуються добре організованими учасниками. Ми можемо виділити три основні блокиСпонсоровані державою групи, організована злочинність та хактивістські колективи. APT35, пов'язана з іранськими інтересами, за даними багатьох аналітиків, націлена на такі сектори, як аерокосмічна промисловість, телекомунікації, фінанси, енергетика, хімічна промисловість та готельний бізнес, переслідуючи економічні, військові та політичні цілі.

Серед державних груп виділяються деякі відомі випадки: Лазар (Північна Корея), причетний до фінансових крадіжок та операцій, таких як інцидент із Sony; APT28/Fancy Bear та APT29/Cozy Bear (Росія)з кампаніями проти урядових, дипломатичних та виборчих цілей; та APT40, пов'язаний з кібершпигунством, спрямованим проти університетів та оборонних відомств. Ці операції ілюструють масштаби планування APT.

В організованій злочинності фінансова вигода є головною. Карбанак/FIN7 атакував банківську та роздрібну торгівлю; Темна сторона Він здобув популярність завдяки інциденту з Колоніал Пайплайн. Хактивісти ж діють з ідеологічних чи політичних мотивів: анонімний O Сирійська електронна армія Це приклади протестних акцій та пропаганди, які мають реальний вплив.

Ці супротивники, включаючи тих, хто пов'язаний з державами, Вони прагнуть прибутку або стратегічної переваги через крадіжку інтелектуальної власності, вимагання (програми-вимагачі) або доступ до критично важливих систем.

Як вони працюють: ключові тактики, методи та процедури

Типова APT поєднує кілька шарів: вторгнення, сходження та латеральний рух, а також ексфільтраціяПід час вторгнення APT35 використовує психологію користувача, щоб примусити його до першого кліку та, якщо можливо, проникнути в системи за допомогою експлойтів або непатченого програмного забезпечення. У Windows часто можна побачити шкідливі макроси в документах, посилання на фальшиві сторінки входу та використання системних інструментів, щоб залишатися непоміченим.

Потрапивши всередину, зловмисник встановлює зв'язок зі своєю інфраструктурою командування та управління (C2). Це спілкування може бути замасковане під легітимний трафік.Від простих HTTP(S) запитів до більш креативних каналів, що підтримуються державними службами (були TTP, які зловживають соціальними мережами або хмарними документами). За умови стабільного зв'язку починається виявлення активів та горизонтальний рух.

Захисники повинні пам’ятати, що сучасна APT використовувати публічні системи та інструменти для пост-експлуатації (наприклад, відомі фреймворки), але й компоненти, створені на замовлення. Іноді зловмисники завантажують код у пам'ять, щоб уникнути слідів на диску, і покладаються на такі методи, як завантаження DLL.

При ексфільтрації дані виводяться краплями або партіями, маскується шумом мережі або інкапсульовані (стиснуті файли, загальні протоколи, приховані канали). Якщо жертва щось виявляє, APT може генерувати відволікаючі фактори, такі як DDoS-атака, щоб замаскувати справжній витік.

Покрокові фази APT-атаки

  1. ВизнанняВони збирають адреси електронної пошти, публічні профілі, використовувані технології (іноді розкриваються в оголошеннях про роботу) та будь-яку іншу корисну інформацію. Це тиха сцена для адвоката.
  2. ВторгненняФішинг з використанням копій використання вразливостіСлабкі паролі або шкідливе програмне забезпечення, вбудоване в документи, можуть становити серйозну загрозу. У Windows часто достатньо простого відкриття «неправильного» вкладення для виконання коду.
  3. Крадіжка особиВони шукають дійсні облікові дані (файли cookie, токени, паролі) та отримують доступ до десятків систем, використовуючи особисті дані законних користувачів. уникнення контролю на основі підписів.
  4. Встановлення утилітВони містять інструменти для прихованого адміністрування, крадіжки паролів, моніторингу тощо. Невеликий імплантат або скрипт Він може служити трампліном для більших вантажів.
  5. Бекдори та привілеїВони створюють бекдори, приховані облікові записи або змінюють конфігурації. Якщо вони отримують облікові дані адміністратора домену, Вони тримають ключі від царства рухатися вбік.
  6. ЕксфільтраціяВони упаковують електронні листи, файли та бази даних на проміжні сервери або хмарні сховища, використовуючи HTTP/FTP або інші канали. Вони також можуть зловживати DNS-тунелями якщо оточення це дозволяє.
  7. НаполегливістьНавіть після часткового виявлення вони намагаються залишитися. Ця впертість є відмінною рисою APT., з перервами на місяці.

Індикатори та ознаки того, що триває APT

Піки трафіку або незвичайні потоки від внутрішнього обладнання назовні Це тривожні сигнали. Так само, вхід поза робочим часом або з незвичних місць свідчить про компрометацію облікових даних.

The повторювані зараження шкідливим програмним забезпеченням Той факт, що бекдори знову відкриваються та з'являються після «очищення», свідчить про їхню стійкість. Крім того, якщо великі або стиснуті файли з'являються у форматах, які компанія рідко використовує, необхідно провести розслідування.

Незвичайні електронні листи, отримані керівниками або конфіденційним персоналом, типові для фішингових атак Зазвичай вони є першим кроком у ланцюжку APT.Ще одна підказка: аномальна активність у базах даних з операціями з великим обсягом.

Деякі провайдери реєструють, де відкривається електронний лист або з якої IP-адреси; спостереження за незвичайним доступом або перехопленням листування може свідчити про [щось]. зловмисники переглядають комунікаціїНа рівні кінцевої точки зловмисник досліджує політики та прогалини у відповідності, щоб використати слабкі місця.

Види APT за об'єктивними та ілюстративними прикладами

  • Саботаж або порушення порядкуНадзвичайно складні операції, що маніпулюють промисловими процесами, не попереджаючи жертву. Парадигматичний випадок: Stuxnet, що вплинуло на іранські центрифуги.
  • Вимагання: кампанії, спрямовані на отримання фінансової вигоди, такі як програми-вимагачі. Ryuk Він виділявся цілеспрямованими атаками, які шифрують критично важливі активи та вимагають високих викупів.
  • Інфільтрація та ексфільтраціяМета полягає в тому, щоб залишатися та постійно витягувати дані. Кампанії були пов'язані з APT32 y APT37 для економічного та політичного шпигунства.
  • Ланцюг поставокПостачальники прагнуть досягти своїх клієнтів. Прикладом цього для ЗМІ був SolarWinds (на форумах приписується APT29), та NotPetya Він поширився через скомпрометоване оновлення, завдавши глобальної шкоди.

Реальні випадки, які навчають

Напад на Ціль за допомогою RAM-скрейпера Він скористався слабкістю постачальника, щоб отримати доступ до його екосистеми. Актор тижнями проникав у термінали продажу, крадучи дані кредитних карток та витягування величезних обсягів одночасно.

Дослідники виявили кампанії, проведені підгрупою Лазар який модифікував відоме шкідливе програмне забезпечення DTrack та використовував програму-вимагач Maui. Завантаження з пам'яті виконувалося у WindowsDTrack збирав системні дані та історію браузера, а час витримки становив місяці.

LuckyMouse розгорнув троянський варіант служби обміну повідомленнями Mimi для бекдорів проти macOS, Windows та Linux, залучення організацій на Тайвані та ФіліппінахЦе демонструє кросплатформну сумісність, типову для APT.

Група СІАБОРГІУМ, пов'язаний з російськими інтересами, роками здійснював шпигунство в Європі, зловживання фішинговими атаками для отримання доступу до OneDrive та LinkedInВикористання легітимних хмарних сервісів ускладнює виявлення.

Останні тенденції в ТТП: що змінюється, а що ні

Протягом нещодавнього літнього кварталу аналітики спостерігали явні відмінності між гравцями: деякі Вони розвинули свій інструментарій у напрямку модульних фреймворків дуже наполегливі, тоді як інші досягали цілей за допомогою тривалих ланцюгів зараження, демонструючи, що «просто та перевірено» все ще працює.

Одним із найвражаючих висновків було зараження через Завантажувальний пакет UEFI, частина поетапної структури, відомої як Mosaic Regressor, яка зробила імплантат надзвичайно міцним і важким для видалення. UEFI має вирішальне значенняЗараження забезпечує його стійкість під операційною системою.

Їх теж бачили методи стеганографії з нестандартним завантаженням: кампанія, яку приписують Ke3chang, використовувала версію бекдору Okrum, яка використовувала підписаний бінарний файл Захисника Windows для приховування основного корисного навантаження, підтримка дійсного цифрового підпису щоб зменшити виявлення.

Інші групи, такі як Мутна водаВони мають ітеровані багатофазні структури, водночас DTrack Він включав нові можливості для виконання більшої кількості типів корисних навантажень. Паралельно, Переслідувач смерті Він підтримує прості, але дуже цілеспрямовані ланцюги, розроблені для уникнення виявлення, демонструючи, що витонченість не завжди необхідна для успіху.

APT35 у фокусі: характерні TTP та мішені

APT35 відомий тим, що Високонадійні фішингові електронні листи та підроблена документація що імітує академічні запрошення або повідомлення від організацій. Часто можна побачити підробку входу, зловживання скороченими посиланнями та сторінки захоплення облікових даних з бездоганним виглядом.

У Windows ця група, як правило, покладатися на рідні скрипти та інструменти Щоб залишитися непоміченим, створіть C2 та рухайтеся латерально. Поєднання соціальної інженерії з опортуністичною експлуатацією непатченого програмного забезпечення. пояснює його високий рівень успіху без належного контролю поведінки та сегментації.

Як захистити Windows від APT35 та інших APT

EDR та XDR. Сучасні рішення виявляють аномальну поведінку в режимі реального часуВони забезпечують телеметрію процесів, мережі та пам'яті, а також дозволяють швидко реагувати (ізолювати обладнання, завершувати процеси, скасовувати зміни).

Латування та загартування. Оновіть Windows, браузери та офісні пакетиВін застосовує правила зменшення площі поверхні, обмежує PowerShell, вимикає макроси за замовчуванням та контролює виконання непідписаних бінарних файлів.

Контроль застосунків та доменів. Білий список знижує ризикАле це вимагає суворих правил оновлення та постійного перегляду: навіть «довірені» домени можуть бути скомпрометовані.

WAF та безпека застосунків. Брандмауер веб-застосунку Це допомагає ізолювати атаки на рівні додатків та зупиняти спроби RFI або SQL-ін'єкцій; моніторинг внутрішнього трафіку виявляє незвичайні закономірності.

Доступ та управління даними. Сегментуйте мережу, застосовуйте найменші привілеїВін посилює багатофакторну автентифікацію (MFA) та контролює доступ до конфіденційних ресурсів. Він контролює обмін файлами та блокує знімні пристрої, якщо це можливо.

Телеметрія та DNS. Звертайте увагу на шаблони, що вказують на DNS-тунелі або інші приховані шляхи витоку; створює сповіщення про незвичайні стиснення та переміщення великих обсягів даних.

Усвідомленість, але без сліпої віри. Навчання допомагає. хоча навіть навчений персонал може впастиЦе доповнюється технічними засобами контролю, списками спостереження та виявленням поведінки.

Як реагувати: від першої ознаки до постійного вдосконалення

  • Ідентифікація та оцінка. Використовуйте розширені інструменти моніторингу та судово-медичного аналізу подій та файлів. Визначає фактичний обсяг, вектори та уражені облікові записи, переглядаючи журнали та артефакти.
  • Стримування. Ізолюйте скомпрометовані системиСкасуйте сесії та токени, змініть облікові дані та терміново сегментуйте. Запобігайте зловмиснику продовжувати рух або витік.
  • Викорінення та відновлення. Видаляє інструменти атаки, виправляє вразливості y Відновлення з відомих резервних копій як неушкоджений. Підтримуйте посилений моніторинг для виявлення залишкової активності.
  • Аналіз та вдосконалення. Задокументуйте інцидент, оновіть політикиНалаштуйте правила виявлення та прозоро спілкуйтеся із зацікавленими сторонами. Цей етап зменшує витрати на майбутні порушення.

Інструменти та інтелект: що має вирішальне значення

Підходи на основі штучного інтелекту, які виявляють шкідливі програми та бінарні файли програм-вимагачів перед виконанням, проактивні послуги з пошуку загроз та щоденне посилення SOC через MDR є ключовими важелями для випередження нових ТТП.

Портали розвідки загроз з доступом до технічна та контекстна інформація майже в режимі реального часу Вони дозволяють передбачати кампанії, оновлювати виявлення та заповнювати списки спостереження. Вони доповнюють EDR/XDR на кінцевих точках та мережевих датчиках для повного покриття.

Поширені ознаки компрометації у Windows, які не слід ігнорувати

  • Висока кількість входів після робочого часу а в облікових записах з високими привілеями; кореляція між піками даних та віддаленим доступом.
  • Повторна поява бекдорів або повторна поява бекдорів: Клони троянців, що повертаються після нібито «очищення».
  • Перехоплення пошти або дивні логіни до поштових скриньок; фішинг, спрямований спеціально на керівників чи фінансові відділи.
  • Інші аномалії: незвичайна повільність сервера, зміни в реєстрах, створення невідомих облікових записів або дивні служби під час запуску.

Витрати та мотивація: чому APT не потребує великого бюджету

Хоча це може вас здивувати, Експлуатаційні витрати деяких APT-кампаній можуть бути невеликими.Комерційні інструменти тестування на проникнення та деякі інфраструктурні послуги становлять значну частину витрат, але віддача для зловмисника (економічна чи стратегічна) зазвичай виправдовує інвестиції.

Часті запитання

  • Яка різниця між APT та «розширеною цільовою атакою» (ATA)? На практиці, ATA описує методологію, яку використовують усталені групи; коли ця діяльність є постійною, з постійною наполегливістю та адаптацією, ми говоримо про APT. Вони відрізняються тактикою, інфраструктурою, повторним використанням коду та типом цілей.
  • Які типові цілі та методи дії APT35? Вони, як правило, орієнтовані на стратегічні сектори та академічні кола, з дуже правдоподібний фішинг-злом, крадіжка облікових даних, зловживання хмарними сервісами та збереження роботи в Windows з використанням власних інструментів та замаскованого C2.
  • Як виявити APT, якщо він майже не залишає слідів? Шукати аномальна поведінка: нестандартні входи, великі стиснуті файли, дивний вихідний трафік, процеси, що ініціюють незвичайні з’єднання, та повторна поява шкідливого програмного забезпечення після очищення.
  • Чи достатньо антивіруса та навчання? Ні. Вам потрібні EDR/XDR, телеметрія, сегментаціяКонтроль застосунків та організоване реагування. Усвідомлення допомагає, але автоматизація та прозорість є важливими.

Зміцнення Windows проти APT35 та інших APT вимагає поєднання моніторингу, технологій та процесів. Завдяки надійному контролю доступу, EDR/XDR, розвідці загроз та добре налагодженому реагуваннюВи можете суттєво зменшити вікно можливостей зловмисника та мінімізувати вплив навіть тоді, коли він отримає перший клік.

Пов'язана стаття:
Повний посібник зі створення інкрементальних резервних копій у Windows