APT3

OrigemChina

Técnicas (MITRE ATT&CK)44

FonteMITRE ATT&CK

Também conhecido como:Gothic PandaPirpiUPS TeamBuckeyeThreat Group-0110TG-0110

Análise Vexday

APT3 é um grupo de ameaça persistente avançada de origem chinesa (identificador MITRE ATT&CK: G0022), atribuído ao Ministério de Segurança do Estado da China por pesquisadores da área. O grupo é responsável pelas campanhas conhecidas como Operation Clandestine Fox, Operation Clandestine Wolf e Operation Double Tap, tendo deslocado seu foco, a partir de junho de 2015, de vítimas predominantemente norte-americanas para organizações políticas em Hong Kong. Também rastreado pelos aliases Gothic Panda, Pirpi, UPS Team, Buckeye, Threat Group-0110 e TG-0110, o grupo possui 44 técnicas documentadas no MITRE ATT&CK e tem 2 CVEs atribuídas à sua atuação.

Técnicas (MITRE ATT&CK) 44

Como o grupo opera, mapeado pela matriz MITRE ATT&CK e organizado pelas fases de um ataque.

Acesso inicial

Spearphishing Link

Execução

Scheduled Task PowerShell Windows Command Shell Exploitation for Client Execution Malicious Link

Persistência

Additional Local or Domain Groups Local Account Windows Service Registry Run Keys / Startup Folder

Escalada de privilégio

Accessibility Features

Acesso a credenciais

LSASS Memory Password Cracking Credentials In Files Credentials from Web Browsers

Descoberta

System Network Configuration Discovery Remote System Discovery System Owner/User Discovery System Network Connections Discovery Process Discovery Permission Groups Discovery System Information Discovery File and Directory Discovery Local Account

Movimento lateral

Remote Desktop Protocol SMB/Windows Admin Shares

Coleta

Data from Local System Keylogging Local Data Staging Archive via Utility

Comando e controle

External Proxy Non-Application Layer Protocol Multi-Stage Channels Ingress Tool Transfer

Exfiltração

Exfiltration Over C2 Channel

stealth

Obfuscated Files or Information Software Packing Indicator Removal from Tools Masquerade Account Name File Deletion Domain Accounts Rundll32 Hidden Window DLL

Vulnerabilidades exploradas 2

CVEs que este grupo é conhecido por explorar, segundo o MITRE ATT&CK. Ordenadas por gravidade real.

CVE-2015-3113HIGHEPSS 100%KEV CVE-2014-1776CRITICALEPSS 88%KEV

O grupo APT3 usa técnicas e explora falhas reais. O Pentest Autônomo com IA da TrueHacking simula esses ataques na sua infraestrutura e traz mais segurança para sua aplicação.

Conhecer o Pentest Autônomo com IA →