XiaoMi-AI文件搜索系统
World File Search SystemGamaredon
高级持续性威胁配置文件 Gamaredon
可能劫持伊朗 APT 运营的基础设施:2019 年,Recorded Future 报告称,多个伊朗国家关系组织与 BlueAlpha 的攻击基础设施存在重叠,BlueAlpha 是该公司为与 Gamaredon 运营方式非常相似的活动集群指定的标识符。研究人员将涉及冒充沙特国际石油化工公司域名的恶意活动追溯到 BlueAlpha 的运营基础设施。此前,与伊朗伊斯兰革命卫队 (APT33/Elfin 和 APT35/Charming Kitten) 有关的两家威胁行为者以及一个疑似隶属于伊朗情报和安全部的组织 (MUDDYWATER) 曾利用过同一个虚假域名。在其他俄罗斯威胁行为者夺取伊朗 APT 工具控制权的平行报道背景下(最引人注目的是 Turla 在 FSB 任务下运作),这些交集表明 BlueAlpha 可能已经渗透到伊朗运营的攻击平台或收回了退役的基础设施。为 InvisiMole 开发访问权限:2018 年,ESET 在乌克兰和俄罗斯的系统上发现了一种之前未知的网络间谍工具。威胁活动的初始访问媒介(ESET 将其追踪为“InvisiMole”)仍不清楚,任何潜在的国家联系也不清楚。2019 年底,同一攻击者针对东欧的一组国防组织和外交代表团恢复了攻击活动,揭示了一个分阶段的渗透过程。
2022 年全球威胁情报报告 - NTT | 安全控股
NTT Security Holdings 一直在追踪与 Gamaredon APT 参与者相关的基础设施,这些参与者一直在积极针对乌克兰政府组织和官员。利用 NTT 独特的网络可视性,GTIC 确定了用于管理 Gamaredon 基础设施的参与者控制节点。在冲突的最初几周内,乌克兰境内发现了多起入侵事件,以及与 EMEA 地区之间的通信。这种可视性使我们能够在威胁基础设施更新时自动检测到变化,并将新指标推送到 NTT 的 SamurAI XDR 平台。
2022 年 3 月 - 思科
Gamaredon 又名 Primitive Bear,是一个民族国家行为体,经常针对政府组织进行网络间谍活动。随着俄罗斯和乌克兰之间的紧张局势加剧,该组织的活动有所增加。Gamaredon 通常利用通过鱼叉式网络钓鱼 (T1566.001) 分发的恶意办公文件 (T1204.002) 作为其攻击的第一阶段。据了解,他们使用名为 PowerPunch 的 Powershell (T1059.001) 信标下载并执行 (T1204.002) 恶意软件以进行后续阶段。Pterodo (S0147) 和 QuietSieve 是他们部署用于窃取信息 (TA0010) 和各种其他操作的流行恶意软件系列。
2022 年 3 月 - 思科
Gamaredon 又名 Primitive Bear,是一个国家级攻击组织,经常针对政府机构进行网络间谍活动。随着俄罗斯和乌克兰之间的紧张局势加剧,该组织的活动也随之增多。Gamaredon 通常利用通过鱼叉式网络钓鱼 (T1566.001) 分发的恶意办公文件 (T1204.002) 作为攻击的第一阶段。据了解,他们使用名为 PowerPunch 的 Powershell (T1059.001) 信标下载并执行 (T1204.002) 恶意软件,以进行后续阶段。Pterodo (S0147) 和 QuietSieve 是他们部署用于窃取信息 (TA0010) 和其他各种操作的流行恶意软件系列。
2022 年第四季度 - 2023 年第一季度
ScarCruft、Andariel 和 Kimsuky 等与朝鲜结盟的组织继续使用其常用工具集攻击韩国和与韩国相关的实体。除了使用虚假的波音主题工作机会攻击波兰国防承包商的员工之外,Lazarus 还将重点从其通常的目标垂直领域转移到印度的数据管理公司,使用以埃森哲为主题的诱饵。此外,我们还发现他们的一项活动利用了 Linux 恶意软件。与俄罗斯结盟的 APT 组织在乌克兰和欧盟国家特别活跃,Sandworm 部署了擦除器(包括我们称之为 SwiftSlicer 的新型擦除器),而 Gamaredon、Sednit 和 Dukes 则利用鱼叉式网络钓鱼电子邮件,在 Dukes 的案例中,这些电子邮件导致红队植入了名为 Brute Ratel 的植入程序。最后,我们发现前面提到的 Zimbra 电子邮件平台也被 Winter Vivern(一个在欧洲特别活跃的组织)利用,并且我们注意到 SturgeonPhisher(一个专门针对中亚国家政府工作人员发送鱼叉式网络钓鱼电子邮件的组织)的活动显着下降,这让我们相信该组织目前正在重组。
高级持续性威胁简介 APT29 - EuRepoC
美国和英国政府将 ATP29 归咎于俄罗斯对外情报局 (SVR),该局的“政治情报”和“经济情报”职责甚至比国内和军事情报机构 FSB 和 GRU 的职责更重要。荷兰情报和安全总局 (AIVD) 也将 ATP29 归咎于 SVR,这是基于 2014 年入侵 ATP29 假定总部 (HQ) 的安全摄像头后获得的录像。AIVD 可以识别出几个已知的 SVR 成员进出总部的“黑客室”。 IT 安全行业的消息来源(其中包括 CrowdStrike 在其关于该组织的初步报道中)仅确认了 APT29 是俄罗斯情报机构的一部分,而没有具体说明与特定机构的联系。然而,在随后的几年中,CrowdStrike 和 Mandiant 一直支持将 APT29 确定为 SVR 运营实体的判断。与 Turla 被怀疑与 FSB 有一般联系类似,没有任何特定的 SVR 单位公开与行业名称相关联。这与其他与俄罗斯有联系的行为者建立的更细致入微的组织联系形成了鲜明对比,包括 APT28(GRU 部队 26165)、Sandworm(GRU 部队 74455)和 Gamaredon(FSB 第 16 和第 18 中心)。关于该组织在俄罗斯情报机构中的组织地位的公开信息较少,这可能反映了其相对较高的运营安全级别,这也可能会影响分析储备,从而披露可能危及对该组织行动洞察的细节。来源 [4] , [5] , [6] , [7] , [31] , [32] , [33]