СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
14 декабря
#ИБ

APT15: кибершпионаж, C2, уязвимости и методы уклонения

Группа APT15, базирующаяся в Китае и действующая примерно с 2010 года, сохраняет статус одной из наиболее устойчивых и изощрённых угроз в мире кибершпионажа. От громких кампаний против правительственных и дипломатических целей до атак на военные сети — её операции охватывают Северную Америку, Европу и Ближний Восток. Несмотря на значимые успехи правоохранительных и частных компаний в нейтрализации части инфраструктуры, APT15 быстро адаптируется и продолжает работу под новыми инструментами и каналами связи.

Краткая история громких кампаний

  • 2013 — операция «moviestar» против европейских министерств иностранных дел;
  • 2016 — атаки на персонал посольства Индии;
  • 2018 — компрометация подрядчика ВМС США;
  • 2021 — значительный инцидент, связанный с разгоной Microsoft (Microsoft takedown), после которого группа реорганизовала инфраструктуру;
  • 2022 — внедрение нового бэкдора Graphican;
  • 2023 — использование сетевой инфраструктуры ORB3 для операций.

Методы получения первоначального доступа

APT15 использует несколько проверенных способов для проникновения в целевые сети:

  • Эксплуатация уязвимостей в общедоступных приложениях, таких как Microsoft Exchange и Pulse Secure VPN;
  • spear phishing с вложениями, маскируемыми под легитимные документы;
  • покупка и использование заранее подготовленной инфраструктуры для C2 (command and control).

Закрепление и расширение доступа

После успешного проникновения атакующие применяют множество техник для сохранения присутствия и горизонтального перемещения по сети:

  • модификация папок автозагрузки и создание запланированных задач для автозапуска вредоносных бинарников;
  • сбор легитимных учётных данных через локальные хранилища и другие механизмы, что позволяет получить доступ к конфиденциальным средам, включая Microsoft 365;
  • встраивание вредоносных компонентов в кажущиеся безопасными файлы (например, PNG) для обхода детектирования.

Инструменты и коммуникация

APT15 демонстрирует богатый арсенал и творческий подход к организации C2 и управлению вредоносной нагрузкой:

  • новые бэкдоры, такие как Graphican;
  • сеть ORB3 для распределённых операций и устойчивой коммуникации;
  • использование возможностей COM-модели в Internet Explorer для взаимодействия с серверами C2;
  • выполнение команд через легитимные системные инструменты вроде rundll32.exe для загрузки вредоносных библиотек.

Стратегии уклонения и маскировки

Группа применяет продвинутые методы, направленные на минимизацию шансов обнаружения и анализа:

  • шифрование сетевого трафика (включая AES) и кодирование полезных данных в Base64 перед отправкой на C2;
  • маскировка URL под легитимный трафик и запутывание полезной нагрузки (obfuscation);
  • изменение системных реестров и мимикрия под легитимные сервисы, чтобы затруднить обнаружение и удаление;
  • встраивание вредоносного кода в безобидно выглядящие файлы (steganography-подобные приёмы).

«APT15 остается серьезной угрозой, демонстрируя устойчивость и адаптивность, несмотря на существенные контрмеры против их инфраструктуры.»

Соответствие MITRE ATT&CK framework

Тактики и техники APT15 хорошо описываются в терминах MITRE ATT&CK framework: от начального доступа через эксплуатацию уязвимостей и фишинговые кампании до механизмов сохранения присутствия, сбора учётных данных и удалённого управления. Это упрощает интеграцию индикаторов и сигнатур в существующие средства защиты и показывает, какие именно зоны требуют приоритетного внимания.

Практические рекомендации для защиты

Организациям, работающим в высокорисковых секторах, следует принять комплекс мер для противодействия подобным кампаниям:

  • обновлять и патчить внешние сервисы (включая Microsoft Exchange и VPN) как можно быстрее;
  • усилить средства обнаружения аномалий сетевого трафика, учитывать шифрованные и Base64-кодированные каналы;
  • внедрять многофакторную аутентификацию и контролировать использование учётных данных в облачных сервисах (Microsoft 365);
  • обучать персонал распознавать целевые spear phishing-атаки и проверять вложения даже от кажущихся легитимными отправителей;
  • развернуть средства контроля целостности автозагрузок, запланированных задач и критичных реестровых ключей;
  • интегрировать сведения о тактиках APT15 в SIEM/EDR для быстрого реагирования.

Вывод

APT15 — пример организованной, хорошо финансируемой и технически подкованной угрозы кибершпионажа. Её способность сменять инструменты (Graphican, ORB3) и комбинировать классические и современные приёмы делает группу опасной для государственных и корпоративных целей. Комплексная защита, оперативное патч-менеджмент и внимательная аналитика сетевых и поведенческих индикаторов остаются ключевыми мерами противодействия.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: