APT-C-36 - APT-группировка, предположительно из Южной Америкикоторая, которая с апреля 2018 года осуществляла непрерывные целевые атаки на государственные учреждения Колумбии, а также важные корпорации в финансовом секторе, нефтяной промышленности, профессиональном производстве и другие организации.
APT-C-36
Целенаправленная атака по электронной почте против крупнейшей и основной нефтяной компании Колумбии Ecopetrol:
Документ-приманка (Dian Embargo Bancario # 609776.doc) был замаскирован как исходящий от Национального управления по налогам и таможне (www.dian.gov.co):
При атаке на различные цели злоумышленники тщательно продумывают, как подделать источник сообщения, чтобы оно выглядело более правдоподобным. Например, маскируясь под Национальный реестр актов гражданского состояния, злоумышленники атакуют Институт слепых, выдавая себя за Налоговое и таможенное управление.
Злоумышленник также тщательно продумывает содержание сообщения, чтобы оно казалось исходящим от поддельного учреждения и имеющим отношение к цели.
Indicators of Compromise
IPv4
- 128.90.106.22
- 128.90.107.189
- 128.90.107.21
TTP - тактика, техника, процедуры
Тактика, методы и процедуры (TTP) обобщают предполагаемые методы MITRE ATT&CK, используемые APT-C-36.
| ID | Техника | CWE | Описание | Доверие |
| 1 | T1006 | CWE-21, CWE-22, CWE-23 | Обход имени пути | Высокий |
| 2 | T1040 | CWE-294, CWE-319 | Обход аутентификации путем захвата и воспроизведения | Высокий |
| 3 | T1055 | CWE-74 | Инъекция | Высокий |
| 4 | T1059 | CWE-94 | Межсайтовый скриптинг | Высокий |
| 5 | T1059.007 | CWE-79, CWE-80 | Межсайтовый скриптинг | Высокий |
