卡巴斯基发现现代亚洲APT组织的标志性技术

从2022年开始，卡巴斯基网络威胁情报团队分析了全球不同地区发生的约100起事件。该团队利用统一杀伤链方法对攻击者的行为进行了全面研究，将他们的发现建立在被分析的APT组织使用的TTP的基础上。在报告中，专家们深入分析了发生在俄罗斯和白俄罗斯、印度尼西亚、马来西亚、阿根廷和巴基斯坦的五起具体事件，每起事件都代表了攻击的地理分布性质。

在这份长达370页的分析报告中，APT 组织在攻击过程的每个阶段使用的 TTP 都得到了细致的记录。此外，该报告还提供了对抗此类攻击的建议，包括可用于检测此类攻击的Sigma规则。

为了确保全球的研究人员和安全专业人员能够获取并理解这份报告，本研究在很大程度上依赖于国际知名的威胁分析工具、实践和方法，例如MITRE ATT&CK、F3EAD、David Bianco的痛苦金字塔、情报驱动的事件响应和统一网络杀伤链。

研究显示，尽管攻击次数众多，但遇到的技术范围仍然有限，使研究人员能够更深入地研究他们的分析。以下是一些主要发现：

·        亚洲APT组织在攻击目标选择方面没有区域偏见。他们的受害者遍布全球，很难确定其最常攻击是哪个区域。这意味着攻击者在世界各地采用一致的策略，证明他们有能力使用统一的武器库来攻击各种受害者。

·        这些攻击者的一个重要特征是他们熟练地使用各种技术组合。他们使用“创建或修改系统进程：Windows 技术服务 T1543.003”，这使他们能够提升权限。他们还使用“劫持执行流程：DLL 侧加载 T1574.002”，这是一种通常用于逃避检测的策略。这种策略组合似乎是亚洲网络犯罪组织的一个显著标志。

·        这些亚洲APT组织的主要关注点是网络间谍活动，他们努力收集敏感信息并将其输送到合法的云服务或外部渠道就是明证。虽然并不常见，但这些组织也有偏离这种攻击模式的时候，在所调查的事件中就有一起在攻击中使用勒索软件。

·        最常被攻击的行业包括政府部门、工业、医疗保健、IT、农业和能源行业。

 
将攻击者使用的各种TTP系统化后，我们开发出了一套精心制作的特定 SIGMA规则，帮助安全专家检测其基础设施中的潜在攻击。

“在网络安全领域，知识是弹性的关键。通过这份报告，我们旨在为安全专家提供他们所需的见解，以保持领先地位并防范潜在威胁。我们敦促整个网络安全社区加入我们的知识共享任务，以建立一个更强大、更安全的数字环境，”卡巴斯基威胁探索负责人Nikita Nazarov评论说。

 卡巴斯基研究人员不断发现APT组织在全球网络攻击中使用的新工具、新技术和发起的新活动。公司的专家监控着900多个恶意行动和威胁组织，其中90%与间谍活动有关。他们通过卡巴斯基威胁情报门户 （TIP） 积极分享他们的最新发现和独家见解。卡巴斯基威胁情报门户（TIP）是该公司一站式的威胁情报访问点，提供卡巴斯基20多年来收集的网络攻击数据和见解。

 标题为《现代亚洲APT组织：战术、技术和程序》的报告全文请参见Securelist.com。

 
关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务，为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合，包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务，以及用于应对复杂和不断变化的数字威胁的网络免疫解决方案。全球有超过4亿用户使用卡巴斯基技术保护自己，我们还帮助全球220,000家企业客户保护最重要的东西。要了解更多详情，请访问www.kaspersky.com.