Casi cada trimestre, se publican extensas investigaciones sobre campañas o incidentes relacionados con grupos asiáticos de APT. Estas campañas e incidentes tienen como objetivo a organizaciones de diversos sectores, y la ubicación geográfica de las víctimas no se limita a una región específica. Estas investigaciones suelen incluir detalles sobre las herramientas utilizadas por los atacantes, las vulnerabilidades que explotan y, en ocasiones, la atribución de la autoría de los ataques. A pesar del gran número de este tipo de informes, las organizaciones no suelen estar preparadas para enfrentarse a atacantes de este tipo. Las herramientas y técnicas avanzadas que éstos utilizan exigen que los defensores no sólo tengan una gran pericia y experiencia, sino también que su infraestructura esté preparada, con procesos de gestión de activos y de vulnerabilidades bien construidos, una red segmentada, una auditoría bien configurada y herramientas de protección de la información correctamente configuradas. En la mayoría de los casos, la falta de preparación de las infraestructuras es el factor que permite a las APT asiáticas perpetrar sus ataques.
En este informe, compartiremos la información más relevante sobre los grupos de APT asiáticos. A lo largo de nuestro trabajo, hemos observado que son precisamente estas agrupaciones las que han afectado a numerosos países e industrias. Más importante aún, después de analizar cientos de ataques, hemos descubierto que los distintos grupos siguen un modus operandi similar. Logran sus objetivos en las diversas etapas de la cadena de los ataques cibernéticos mediante el uso de un conjunto limitado de técnicas. Defensores de todo el mundo se encuentran con estos ataques con regularidad, pero desafortunadamente, a menudo enfrentan dificultades para detectarlos en sus infraestructuras.
¿Para quiénes está destinado este informe?
Hemos elaborado este informe con el propósito de compartir información de inteligencia avanzada para hacer frente a los grupos de APT asiáticos. Este informe será de gran utilidad para:
- Especialistas en caza de amenazas
- Expertos en ciberseguridad
- Administradores de dominios
- Analistas de SOC
- Analistas de inteligencia sobre ciberamenazas
- Especialistas en análisis forense digital (DFIR)
- Ejecutivos de nivel C responsables de las soluciones de SI en la organización
Este material puede considerarse como una biblioteca de conocimientos sobre los enfoques principales utilizados por los grupos de APT asiáticos al infiltrarse en cualquier infraestructura. Además, el informe proporciona información detallada sobre las tácticas, técnicas y procedimientos (TTPs) empleados por los atacantes, basándose en la metodología ATT&CK de MITRE.
Estructura del informe
El informe está organizado en seis secciones principales:
- Incidentes con APT asiáticas en distintas partes del mundo
Información sobre los cinco incidentes que descubrimos en diferentes lugares del mundo. Cada incidente es un caso único en su país y sector, que describe las acciones y las TTP de los atacantes. Al final de la sección, hemos compilado una tabla resumida con una lista de TTP de los grupos APT en cuestión y la intersección de su uso en los incidentes que involucran a estos grupos. - Detalles técnicos
Una descripción detallada de las técnicas que encontramos en los grupos asiáticos de APT. Cada descripción contiene:- detalles de cómo funciona la técnica,
- ejemplos de cómo las usan las APT asiáticas,
- datos sobre enfoques de detección de la técnica descrita, así como eventos EventID de varios agentes de monitoreo para detectar esta amenaza,
- una lista de las reglas SIGMA relativas a esta técnica.
- Análisis de las acciones de los atacantes basado en la Unified Kill Chain
Basándonos en la Unified Kill Chain, hemos creado nuestra propia tabla relacionada con los grupos asiáticos de APT con el fin de proporcionar una comprensión de alto nivel de la motivación y el modus operandi de los atacantes, así como brindar datos de cómo los grupos asiáticos de APT pueden operar en posibles ataques. - Mitigación
Descripción de las mitigaciones de riesgo basadas en las TTP descritas. - Estadísticas sobre víctimas
Estadísticas sobre las víctimas de las bandas asiáticas en todo el mundo, incluido un desglose por país y sector. - Aplicación: SIGMA
Reglas SIGMA que pueden aplicarse para detectar las técnicas descritas en este informe.
Versión completa del informe “Tácticas, técnicas y procedimientos de los grupos APT asiáticos modernos” (PDF, inglés)
Tácticas, técnicas y procedimientos (TTPs) de los grupos de APT asiáticos modernos