説明
攻撃者が準備を完了した後、次のステップは、ターゲットの環境内でエッジを実現するための取り組みです。特に一般的なエントリ戦術は、インターネットリンクまたは添付ファイルを含むスピアフィッシングメールの使用です。電子メールリンクは通常、ターゲットのブラウザと関連ソフトウェアがさまざまなエクスプロイト手法にさらされているサイト、またはAPTアクターが後で使用される被害者からの情報をソーシャルエンジニアリングすることを計画しているサイトを引き起こします。エクスプロイトが成功すると、被害者のコンピューターに最初のマルウェアペイロードがインストールされます。図2は、添付ファイルを含むスピアフィッシングメールの例を示しています。
添付ファイルは通常、実行可能なマルウェア、マルウェアを含むジッパーまたはその他のアーカイブ、あるいは被害者のアプリケーション内の脆弱性を悪用して被害者のコンピューターで最終的にマルウェアを実行する悪意のあるOfficeまたはAdobe PDF（ポータブルドキュメント形式）ドキュメントです。ユーザーが脆弱なソフトウェアを使用して悪意のあるファイルを開くと、マルウェアがターゲットシステムで実行されます。これらのフィッシングメールは、多くの場合、非常に説得力があり、正当なメールメッセージと区別するのが困難です。信憑性を高めるための戦術には、組織からの、または組織に関連付けられた正当な文書の変更が含まれます。以前の悪用操作中に、組織またはその協力者からドキュメントが盗まれることがあります。アクターは、エクスプロイトと悪意のあるコードを追加してドキュメントを変更し、被害者に送信します。フィッシングメールは通常、以前に侵害されたメールサーバー、ターゲットに関連付けられた組織のメールアカウント、またはパブリックメールサービスを介して送信されます。電子メールは、正当なソースから発信されたように見えるメッセージを形成するために、変更された電子メールヘッダーを備えたメールリレーを介して送信することもできます。公開サーバーの脆弱性の悪用は、一部のAPTグループのもう1つのお気に入りの手法です。これは既知の脆弱性のエクスプロイトを使用して実行されますが、必要に応じて侵入に使用するために0日が開発または購入されることがよくあります。電子メールは、正当なソースから発信されたように見えるメッセージを形成するために、変更された電子メールヘッダーを備えたメールリレーを介して送信することもできます。公開サーバーの脆弱性の悪用は、一部のAPTグループのもう1つのお気に入りの手法です。これは既知の脆弱性のエクスプロイトを使用して実行されますが、必要に応じて侵入に使用するために0日が開発または購入されることがよくあります。電子メールは、正当なソースから発信されたように見えるメッセージを形成するために、変更された電子メールヘッダーを備えたメールリレーを介して送信することもできます。公開サーバーの脆弱性の悪用は、一部のAPTグループのもう1つのお気に入りの手法です。これは既知の脆弱性のエクスプロイトを使用して実行されますが、必要に応じて侵入に使用するために0日が開発または購入されることがよくあります。
ターゲット環境内で優位に立つことは、最初の侵入の主な目標です。システムが悪用されると、攻撃者は通常、侵入先のシステムにマルウェアを配置し、それをジャンプポイントまたはプロキシとして使用してさらなるアクションを実行します。最初の侵入フェーズで配置されたマルウェアは、通常、簡単なダウンローダー、基本的なリモートアクセストロイの木馬、または簡単なシェルです。図3は、新たに感染したシステムがアウトバウンド接続を開始して、最初の侵入の試みが成功したことをAPTアクターに通知し、それを受け入れることができることを示しています。

コマンド。