Кібершпіонаж APT15: Аналіз кампаній та тактик, технік і процедур
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
APT15 — це китайська кібершпигунська група, що підтримується державою, активна з 2010 року, яка головним чином орієнтована на урядові агенції, дипломатичні місії та військові організації. Актори покладаються на spear-phishing, експлуатацію публічних додатків та кастомні бекдори для отримання початкового доступу та тримання довготривалої присутності. Їхній інструментарій включає стеганографію, маскування, маніпуляцію з реєстром та зашифровані C2 канали, вбудовані в HTTP заголовки або DNS трафік. Кампанія продовжує еволюціонувати з новими інструментами, такими як Graphican та мережа реле ORB3.
Розслідування
Розслідування відобразило декілька сімей зловмисного програмного забезпечення (BS2005, TidePool, MirageFox, Graphican, тощо) та всеосяжний набір технік ATT&CK, що охоплюють початковий доступ, виконання, стійкість, ескалацію привілеїв, ухилення від захисту, доступ до облікових даних, виявлення, збирання, ексфільтрацію та командно-контрольні операції. Аналітики вивели конкретні індикатори, включаючи домени, шляхи до файлів, ключі реєстру та командні лінії з даних випадку. Інфраструктура групи використовує домени, такі як goback.stranged.net and finance.globaleducat.com для C2 операцій.
Мітигація
Рекомандовані заходи захисту включають ретельне сканування прикріплень електронних листів, своєчасне патчення Microsoft Exchange, SharePoint та VPN пристроїв, та моніторинг підозрілих змін у реєстрі, ненормальних запланованих завдань і виконання навантажень на базі rundll32 або COM. Моніторинг мережі повинен зосереджуватися на нетиповій активності HTTP cookie та DNS TXT запитах, узгоджених з відомими C2 шаблонами. Білий список додатків і поведінковий аналіз можуть допомогти блокувати використання переназваних архіваторів і навантажень на базі стеганографії PNG.
Реакція
Коли активність APT15 виявлена, ізолюйте уражений хост, захопіть нестабільні дані та всі пов’язані артефакти IOC, і блокуйте визначені C2 домени та IP-адреси. Проведіть повний судовий аналіз для визначення постійних ярликів, запланованих завдань та змін у реєстрі, потім знищіть шкідливі компоненти і перевстановіть будь-які скомпрометовані облікові дані. Повідомте постраждалих користувачів і оновіть правила виявлення, щоб покрити спостережувані командні лінії, шляхи до файлів та індикатори інфраструктури.
Потік Атаки
Виявлення
Виконання Програм Архівації через Командний та Скриптовий Інтерпретатор (через process_creation)
Перегляд
Підозрілі Рядки Powershell (через powershell)
Перегляд
Підозрілі Рядки Powershell (через cmdline)
Перегляд
Підозрілі Бінарні / Скрипти в Розташуваннях Автозапуску (через file_event)
Перегляд
Можливе Виконання XCOPY для Збирання Документів (через cmdline)
Перегляд
Підозрілі Додані Розширення Файлів до Ключів Реєстру [ASEPs] (через registry_event)
Перегляд
Індикації Компромісу (Emails) для виявлення: APT15 Кібершпигунство: Аналіз Кампаній та TTPs
Перегляд
Виявлення APT15 Виконання Команд та Технік Постійності [Створення Процесу Windows]
Перегляд
Виявити APT15 C2 комунікацію через Специфічні HTTP Заголовки [Мережеве З’єднання Windows]
Перегляд
Виконання Симуляції
Передумова: Перевірка Телеметрії та Базової Лінії має бути пройдена.
Опис атаки та команди:
- Підготовка: Зловмисник вже скомпрометував обліковий запис користувача і потрапив на кінцеву точку.
- Етап Збирання Даних (T1059.003): Використовуючи точний
xcopyсинтаксис, спостережений у історичній активності APT15, атакуючий копіює файли робочого столу жертви у приховану тимчасову папку WMI, зберігаючи позначки часу (/D:09-29-2021) щоб зливатися з легітимною системною активністю. - Виконання Навантаження (T1218.002): Атакуючий потім викликає
rundll32.exeз коротким шляхом (C:DOCUME~1ALLUSE~1IEHelpermshtml.dll) щоб виконати шкідливий JavaScript, який встановлює стійкість. - Результат: Обидві команди генерують виразні події створення процесу, що відповідають правилу Sigma
selection1andselection2відповідно, викликаючи оповіщення.
Скрипт регресійного тесту:
# -------------------------------------------------
# Сценарій Симуляції APT15 — викликає правило Sigma
# -------------------------------------------------
# 1. Створити директорії для збирання та фіктивні файли
$src = "C:usersREDACTEDDesktop"
$dst = "C:windowstempwmi"
New-Item -Path $src -ItemType Directory -Force | Out-Null
New-Item -Path $dst -ItemType Directory -Force | Out-Null
Set-Content -Path "$srcsecret.txt" -Value "sensitive data" -Encoding UTF8
# 2. Виконуйте точну команду xcopy, використану APT15
$xcopyCmd = "xcopy /D:09-29-2021 /S/Y/C c:usersREDACTEDDesktop c:windowstempwmi"
Invoke-Expression $xcopyCmd
# 3. Розгорніть зловмисний DLL (симульоване шляхом копіювання законного DLL)
$malDllSrc = "$env:SystemRootSystem32mshtml.dll"
$malDllDst = "C:DOCUME~1ALLUSE~1IEHelpermshtml.dll"
New-Item -Path (Split-Path $malDllDst) -ItemType Directory -Force | Out-Null
Copy-Item -Path $malDllSrc -Destination $malDllDst -Force
# 4. Виконати rundll32 з точним шаблоном аргументів APT15
$rundllCmd = "rundll32.exe C:DOCUME~1ALLUSE~1IEHelpermshtml.dll, IEHelper"
Invoke-Expression $rundllCmd
# -------------------------------------------------
# Кінець симуляції
# -------------------------------------------------
Команди для очищення:
# Видалити файли і директорії збирання
Remove-Item -Path "C:usersREDACTEDDesktopsecret.txt" -Force -ErrorAction SilentlyContinue
Remove-Item -Path "C:windowstempwmi" -Recurse -Force -ErrorAction SilentlyContinue
# Видалити фальшиву папку IEHelper та DLL
Remove-Item -Path "C:DOCUME~1ALLUSE~1IEHelper" -Recurse -Force -ErrorAction SilentlyContinue
# Опціонально: зупинити Sysmon (якщо потрібен лише для тесту)
# & "$env:ProgramFilesSysinternalsSysmon.exe" -u