APT19

OrigemChina

Técnicas (MITRE ATT&CK)21

FonteMITRE ATT&CK

Também conhecido como:CodosoC0d0so0Codoso TeamSunshop Group

Análise Vexday

APT19 é um grupo de ameaça persistente avançada de origem chinesa, rastreado pelo MITRE ATT&CK sob o identificador G0073 e também conhecido pelos aliases Codoso, C0d0so0, Codoso Team e Sunshop Group. O grupo tem como alvo uma variedade de setores, incluindo defesa, finanças, energia, farmacêutico, telecomunicações, alta tecnologia, educação, manufatura e serviços jurídicos. Em 2017, uma campanha de phishing foi utilizada contra sete escritórios de advocacia e firmas de investimento. Alguns analistas associam o APT19 ao grupo Deep Panda, embora não haja confirmação clara a partir de fontes abertas sobre se tratar da mesma entidade; ao todo, 21 técnicas MITRE ATT&CK são documentadas para este grupo.

Técnicas (MITRE ATT&CK) 21

Como o grupo opera, mapeado pela matriz MITRE ATT&CK e organizado pelas fases de um ataque.

Preparação de recursos

Tool

Acesso inicial

Drive-by Compromise Spearphishing Attachment

Execução

Command and Scripting Interpreter PowerShell Malicious File

Persistência

Windows Service Registry Run Keys / Startup Folder

Descoberta

System Network Configuration Discovery System Owner/User Discovery System Information Discovery

Comando e controle

Web Protocols Standard Encoding

defense-impairment

Modify Registry

stealth

Command Obfuscation Encrypted/Encoded File Deobfuscate/Decode Files or Information Regsvr32 Rundll32 Hidden Window DLL

Vulnerabilidades exploradas

Nenhuma CVE atribuída a este grupo nas fontes públicas (MITRE ATT&CK). Ausência de atribuição não significa ausência de atividade.

O grupo APT19 usa técnicas e explora falhas reais. O Pentest Autônomo com IA da TrueHacking simula esses ataques na sua infraestrutura e traz mais segurança para sua aplicação.

Conhecer o Pentest Autônomo com IA →