SOC Prime Bias: Критичний

16 Dec 2025 16:22 UTC

Кібершпіонаж APT15: Аналіз кампаній та тактик, технік і процедур

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
Кібершпіонаж APT15: Аналіз кампаній та тактик, технік і процедур
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

APT15 — це китайська кібершпигунська група, що підтримується державою, активна з 2010 року, яка головним чином орієнтована на урядові агенції, дипломатичні місії та військові організації. Актори покладаються на spear-phishing, експлуатацію публічних додатків та кастомні бекдори для отримання початкового доступу та тримання довготривалої присутності. Їхній інструментарій включає стеганографію, маскування, маніпуляцію з реєстром та зашифровані C2 канали, вбудовані в HTTP заголовки або DNS трафік. Кампанія продовжує еволюціонувати з новими інструментами, такими як Graphican та мережа реле ORB3.

Розслідування

Розслідування відобразило декілька сімей зловмисного програмного забезпечення (BS2005, TidePool, MirageFox, Graphican, тощо) та всеосяжний набір технік ATT&CK, що охоплюють початковий доступ, виконання, стійкість, ескалацію привілеїв, ухилення від захисту, доступ до облікових даних, виявлення, збирання, ексфільтрацію та командно-контрольні операції. Аналітики вивели конкретні індикатори, включаючи домени, шляхи до файлів, ключі реєстру та командні лінії з даних випадку. Інфраструктура групи використовує домени, такі як goback.stranged.net and finance.globaleducat.com для C2 операцій.

Мітигація

Рекомандовані заходи захисту включають ретельне сканування прикріплень електронних листів, своєчасне патчення Microsoft Exchange, SharePoint та VPN пристроїв, та моніторинг підозрілих змін у реєстрі, ненормальних запланованих завдань і виконання навантажень на базі rundll32 або COM. Моніторинг мережі повинен зосереджуватися на нетиповій активності HTTP cookie та DNS TXT запитах, узгоджених з відомими C2 шаблонами. Білий список додатків і поведінковий аналіз можуть допомогти блокувати використання переназваних архіваторів і навантажень на базі стеганографії PNG.

Реакція

Коли активність APT15 виявлена, ізолюйте уражений хост, захопіть нестабільні дані та всі пов’язані артефакти IOC, і блокуйте визначені C2 домени та IP-адреси. Проведіть повний судовий аналіз для визначення постійних ярликів, запланованих завдань та змін у реєстрі, потім знищіть шкідливі компоненти і перевстановіть будь-які скомпрометовані облікові дані. Повідомте постраждалих користувачів і оновіть правила виявлення, щоб покрити спостережувані командні лінії, шляхи до файлів та індикатори інфраструктури.

Потік Атаки

Виявлення

Виконання Програм Архівації через Командний та Скриптовий Інтерпретатор (через process_creation)

Команда SOC Prime
15 грудня 2025

Підозрілі Рядки Powershell (через powershell)

Команда SOC Prime
15 грудня 2025

Підозрілі Рядки Powershell (через cmdline)

Команда SOC Prime
15 грудня 2025

Підозрілі Бінарні / Скрипти в Розташуваннях Автозапуску (через file_event)

Команда SOC Prime
15 грудня 2025

Можливе Виконання XCOPY для Збирання Документів (через cmdline)

Команда SOC Prime
15 грудня 2025

Підозрілі Додані Розширення Файлів до Ключів Реєстру [ASEPs] (через registry_event)

Команда SOC Prime
15 грудня 2025

Індикації Компромісу (Emails) для виявлення: APT15 Кібершпигунство: Аналіз Кампаній та TTPs

Правила SOC Prime AI
15 грудня 2025

Виявлення APT15 Виконання Команд та Технік Постійності [Створення Процесу Windows]

Правила SOC Prime AI
15 грудня 2025

Виявити APT15 C2 комунікацію через Специфічні HTTP Заголовки [Мережеве З’єднання Windows]

Правила SOC Prime AI
15 грудня 2025

Виконання Симуляції

Передумова: Перевірка Телеметрії та Базової Лінії має бути пройдена.

Опис атаки та команди:

  1. Підготовка: Зловмисник вже скомпрометував обліковий запис користувача і потрапив на кінцеву точку.
  2. Етап Збирання Даних (T1059.003): Використовуючи точний xcopy синтаксис, спостережений у історичній активності APT15, атакуючий копіює файли робочого столу жертви у приховану тимчасову папку WMI, зберігаючи позначки часу (/D:09-29-2021) щоб зливатися з легітимною системною активністю.
  3. Виконання Навантаження (T1218.002): Атакуючий потім викликає rundll32.exe з коротким шляхом (C:DOCUME~1ALLUSE~1IEHelpermshtml.dll) щоб виконати шкідливий JavaScript, який встановлює стійкість.
  4. Результат: Обидві команди генерують виразні події створення процесу, що відповідають правилу Sigma selection1 and selection2 відповідно, викликаючи оповіщення.

Скрипт регресійного тесту:

# -------------------------------------------------
# Сценарій Симуляції APT15 — викликає правило Sigma
# -------------------------------------------------

# 1. Створити директорії для збирання та фіктивні файли
$src = "C:usersREDACTEDDesktop"
$dst = "C:windowstempwmi"
New-Item -Path $src -ItemType Directory -Force | Out-Null
New-Item -Path $dst -ItemType Directory -Force | Out-Null
Set-Content -Path "$srcsecret.txt" -Value "sensitive data" -Encoding UTF8

# 2. Виконуйте точну команду xcopy, використану APT15
$xcopyCmd = "xcopy /D:09-29-2021 /S/Y/C c:usersREDACTEDDesktop c:windowstempwmi"
Invoke-Expression $xcopyCmd

# 3. Розгорніть зловмисний DLL (симульоване шляхом копіювання законного DLL)
$malDllSrc = "$env:SystemRootSystem32mshtml.dll"
$malDllDst = "C:DOCUME~1ALLUSE~1IEHelpermshtml.dll"
New-Item -Path (Split-Path $malDllDst) -ItemType Directory -Force | Out-Null
Copy-Item -Path $malDllSrc -Destination $malDllDst -Force

# 4. Виконати rundll32 з точним шаблоном аргументів APT15
$rundllCmd = "rundll32.exe C:DOCUME~1ALLUSE~1IEHelpermshtml.dll, IEHelper"
Invoke-Expression $rundllCmd

# -------------------------------------------------
# Кінець симуляції
# -------------------------------------------------

Команди для очищення:

# Видалити файли і директорії збирання
Remove-Item -Path "C:usersREDACTEDDesktopsecret.txt" -Force -ErrorAction SilentlyContinue
Remove-Item -Path "C:windowstempwmi" -Recurse -Force -ErrorAction SilentlyContinue

# Видалити фальшиву папку IEHelper та DLL
Remove-Item -Path "C:DOCUME~1ALLUSE~1IEHelper" -Recurse -Force -ErrorAction SilentlyContinue

# Опціонально: зупинити Sysmon (якщо потрібен лише для тесту)
# & "$env:ProgramFilesSysinternalsSysmon.exe" -u