攻击者行为分析
攻击者行为检测规则分析来自事件源的端点流和日志事件,并查找可能指示攻击者行为的事件。Rapid7威胁情报团队对我们的检测进行频繁更新,以适应恶意行为者不断变化的策略。
浏览现有的攻击者行为检测,并查看新发布的检测和可操作的建议。
| 团体 | 描述 | 替代名称 | |
|---|---|---|---|
| APT组 | 高级持久威胁(APT)组是国家国家或国家赞助群体运营的威胁演员。我们的现成检测规则检测以下APT组:APT1,APT10,APT12,APT15,APT16,APT17,APT18,APT19,APT20,APT27,APT3,APT31,APT32,APT3,APT36,APT37,APT39,APT40,APT41,APT5。 | ||
| BlackOasis | Blackoasis是一家以中东威胁组。这种威胁集团在联合国,反对派博主,活动家,区域新闻记者和智库中有针对性的杰出人物。 | ||
| BlackTech | BlackTech是一个网络间谍组织,目标是东亚地区的受害者,主要是台湾、日本和香港。 | CIRCUIT PANDA, HUAPI,临时舷外 | |
| 盲目的鹰 | 盲鹰是一个疑似南美间谍组,自从2018年以来一直活跃。本集团主要针对哥伦比亚政府机构和公司。 | APT-C-36 | |
| 青铜管家 | 青铜巴特勒是一个网络间谍组织,似乎是以中国为基地的,至少从2008年起就一直活跃。该组织主要针对日本组织。 | redbaldknight,tick. | |
| 卡尔巴坦 | Carbanak是一个主要以银行为目标的威胁组织,也指同名的恶意软件。 | Anunak、碳蜘蛛 | |
| 钴组 | Cobalt Group是一个主要有针对性的金融机构的财务威胁群体。这种威胁小组通过针对ATM,卡处理,付款和SWIFT系统进行了窃取资金的入侵。 | 钴,钴岗,钴蜘蛛,金匠伍德 | |
| 黑暗狞猫 | 黑暗卡拉卡尔是黎巴嫩总安全总局(GDGS)的一个威胁组织,至少从2012年开始运作。 | ||
| 暗律 | Darkhotel是一个威胁组织,它对酒店和商务中心的WiFi和物理连接,以及点对点和文件共享网络进行了活动。 | Apt-C-06,Dubnium,Fallout团队,卡巴,Luder,Nemim,Nemin,Pioneer,Shadow Crane,Sig25,Tapaoux | |
| 暗水道 | DarkHydrus是一个威胁组织,自2016年以来,该组织一直以中东的政府机构和教育机构为目标。 | LazyMeerkat | |
| 深熊猫 | 深熊猫被怀疑是一个以中国为基地的威胁组织,目标包括政府、国防、金融和电信等多个行业。 | APT26,黑藤,组,第13组,Jerseymikes,Kungfu小猫,Pinkpanther,壳牌船员,涡轮熊猫,网站 | |
| 蜻蜓 | Dragonok是一种威胁小组,具有针对日本组织的网络钓鱼电子邮件。 | Moafee. | |
| 沙尘暴 | 沙尘暴是一个威胁组织,针对日本、韩国、美国、欧洲和一些东南亚国家的多个行业。 | 大熊猫 | |
| Elderwood | 该组织的目标是国防组织、供应链制造商、人权和非政府组织(ngo)以及IT服务提供商。 | 北京集团,老年岗,偷偷摸摸的熊猫 | |
| 精力充沛的熊 | 该集团最初针对国防和航空公司,但2013年初重点关注能源行业。该集团还针对与工业管制系统有关的公司。 | Allanite,Crouching yeti,Dragonfly,Electrum,Group,24,Hadx,熨斗自由,考拉队,Palmetto Fusion | |
| 翅片组 | 金融威胁集团(FIN)由以金融机构为目标的参与者组成。以下规则基于公共可用信息检测FIN组的存在:FIN4、FIN5、FIN6、FIN7、FIN8、FIN10。 | ||
| 宏伟制片人 | GalMever是一个网络间谍组织,针对中东的受害者,主要是针对国防、军事和政府行业的受害者。 | ||
| Gamaredon集团 | Gamaredon集团是一个威胁集团,至少自2013年以来一直活跃,目标是可能参与乌克兰政府的个人。 | ||
| Gcman. | GCMAN是一个威胁小组,专注于将银行定位到电子货币服务。 | ||
| Gorgon集团 | Gorgon集团是一个威胁小组,其成员被怀疑是基于巴基斯坦的,或者与巴基斯坦有其他联系。这一威胁小组已经犯了刑事和有针对性的袭击事件,包括对联合王国,西班牙,俄罗斯和美国的政府组织的竞选活动。 | ||
| Group5. | Group5是威胁伊朗联系的威胁小组。这种威胁小组通过矛网络钓鱼和浇水孔攻击,有针对性的个人与叙利亚反对联系起来。 | ||
| 第72组 | 72集团是一个被怀疑与中国政府有关联的网络间谍组织。 | ||
| 蜜蜂 | Honeybee是一个由一个由一个未知的恶意演员领导的竞选活动,该演员已经有针对性的人道主义援助组织,并在越南,新加坡,阿根廷,日本,印度尼西亚和加拿大活跃。 | ||
| Keyboy. | Keyboy是一个无懈可灭的威胁小组,为目标战役导致了针对台湾,菲律宾和香港的受害者的目标竞选活动。这种威胁集团主要针对政府,医疗保健,运输和高科技产业。 | APT23,热带部队,海盗熊猫,热带部队 | |
| 拉撒路集团 | Lazarus集团是一项归因于朝鲜政府的威胁小组。 | Andariel,Appt38,Bluenoroff,局121,Covelite,Dark Seoul,Gop,Group 77,和平守护者,和平的监护人,Hastati集团,隐藏眼镜蛇,迷宫Chollima,Lazarus,Newroman Cyber军队,镍学院校,操作Applejesus,操作暗体,操作Ghostsecret,操作特洛伊,沉默Chollima,Stardust Chollima,亚组:Andariel,亚组:Bluenoroff,单位121,Whois黑客团队,Whois队,锌 | |
| 叶子 | Leafminer是一家伊朗威胁小组,拥有各种政府组织和中东商业实体。 | Raspite. | |
| 莲花开花 | 莲花是一个以东南亚政府和军事组织为目标的威胁组织。 | 龙鱼,Elise, Esile,春龙,ST集团 | |
| 弯刀 | “弯刀”是一个至少从2010年就开始活跃的威胁组织,目标是拉丁美洲国家的知名政府机构。 | El砍刀machete-apt | |
| Mofang | Mofang是一个可能的基于中国的网络间谍组,以其频繁的练习模仿受害者的基础设施。 | 超人 | |
| 莫瑞拉斯 | Molerats是一个政治动机威胁小组,自2012年以来一直活跃。该集团主要针对中东,欧洲和美国的受害者。 | 极端豺猴,加沙讯连厂,加沙黑客团队,月光,操作莫雷乳 | |
| MuddyWater | MuddyWater是一个以伊朗为基地的威胁组织,主要针对中东国家,但也针对欧洲和北美国家。该组织主要针对电信、政府IT服务和石油行业的受害者。 | Seedworm, Static Kitten, TEMP.Zagros | |
| Naikon | Naikon是一个威胁组织,主要关注南中国海周围的受害者。这个威胁组已经被归因于中国人民解放军(PLA)成都军区第二技术侦察局(军事单位掩护指示器78020)。 | APT30, APT.Naikon, Camerashy, Hellsing, Lotus Panda, Override Panda,解放军78020部队 | |
| 钕 | 钕是一个活动团体,于2016年5月开展了一项活动,主要针对土耳其受害者。 | ||
| 夜龙 | 夜龙是一个主要以中国为基地的威胁组织的活动名称。 | ||
| 橘鱼 | 橘丝是一个威胁小组,它在美国,欧洲和亚洲的医疗保健行业中有针对性组织,因为2015年以来,涉嫌企业间谍活动。 | ||
| 拼凑 | Patchwork是一个至少从2015年12月就开始活跃的网络间谍组织。虽然这一群体还没有被确切地归因于印度,但间接证据表明,这一群体可能是亲印度或以印度为基础的实体。Patchwork的目标是与外交和政府机构有关的行业。 | APT-C-09, Chinastrats, drop Elephant, Hangover Group, MONSOON, Operation Hangover, Quilted Tiger, Sarit | |
| 铂 | 白金是一家活动组,有针对与南部和东南亚政府和相关组织相关的受害者。 | Twoforone. | |
| 波塞冬集团 | Poseidon集团是一个威胁小组,它已经使用从受害者中遇到的信息,以将Poseidon集团作为安全公司承包。 | ||
| 钷 | 普遍存在的是一家活动小组,在2016年5月进行了一项活动,主要是针对土耳其受害者的竞选活动。 | 强烈的怜悯 | |
| 怨恨 | “积怨”是一个威胁组织,领导了针对东南亚的有针对性的行动。 | 怨恨集团 | |
| Rocke | Rocke是一个据称讲中文的威胁组织,主要利用加密劫持窃取受害者系统资源来挖掘加密货币。 | ||
| rtm. | RTM是一个网络犯罪集团,至少从2015年开始活跃,主要针对俄罗斯和邻国远程银行系统的受害者。 | ||
| 喀土齐 | SCADAfence平台将可见性扩展到IT和OT网络。的检测规则集合Insightidr Scadafence集成. | ||
| 沙蚕团队 | 沙虫小组是一个以俄罗斯为基地的破坏性威胁组织,隶属于美国司法部和英国国家网络安全中心的俄罗斯GRU Unit 74455。 | 黑能量,黑能量(组),electrum,铁骑自行车,quedagh,sandworm,telerbots,temp.noble,伏都教熊 | |
| 猩红色模仿 | “猩红模仿”是一个威胁组织,其目标是少数民族权利活动家。该组织并未与政府消息来源直接联系,但该组织的动机似乎与中国政府的动机重叠。 | ||
| Silverterrier | Silverterrier是一家尼日利亚威胁小组,自2014年以来一直处于积极活动。Silverterrier主要针对高科技,高等教育和制造业的针对组织。 | ||
| 软电池 | 软细胞是一个据报道,并由中国赞助。自2012年以来,该集团一直处于活跃状态,并已损害高调电信网络。 | ||
| 鼠妇 | Sowbug是一个威胁组织,至少从2015年开始,它就对南美和东南亚的组织,尤其是政府实体进行了有针对性的袭击。 | ||
| 隐形猎鹰 | “隐形猎鹰”是一个威胁组织,至少从2012年开始,该组织就对阿联酋的记者、活动人士和异见人士实施有针对性的间谍软件攻击。 | FruityArmor | |
| 偷来的铅笔 | 被盗铅笔是一个疑似以朝鲜为基地的威胁组织,该组织至少从2018年5月开始活跃。这个威胁组织的目标似乎是学术机构,但其动机尚不清楚。 | ||
| str | Strider是一种威胁小组,自至少2011年以来一直活跃,并有针对俄罗斯,中国,瑞典,比利时,伊朗和卢旺达的受害者。 | ProjectSauron. | |
| suck | Suckfly是一个基于中国的威胁小组,自2014年以来一直活跃。 | 公理 | |
| TA459 | TA459是一个疑似的基于Chinses的威胁组,目标是若干国家,包括俄罗斯,白俄罗斯和蒙古。 | ||
| 坦 | 泰门是一个至少从2009年就开始活跃的威胁组织,主要针对台湾政府。 | ||
| 白色公司 | 白公司是一个疑似国家赞助的威胁演员,具有先进的能力。从2017年到2018年,本集团领导了Shaheen Espionage竞选活动,这些活动在巴基斯坦有针对政府和军事组织。 | ||
| 威胁集团- 1314 | 威胁组-1314是一个威胁组,它使用被破解的凭据登录到受害者远程访问基础设施。 | tg - 1314 | |
| thr | THRIP是一个间谍组,拥有美国和东南亚的卫星通信,电信和国防承包商公司。 | Lotus熊猫 | |
| 图拉 | Turla是一个基于俄罗斯威胁小组,受到45多个国家的受害者,跨越多个行业,包括自2004年以来的政府,大使馆,军事,教育,研究和制药。必威体育西汉姆联官网 | Krypton,Snake,Turla集团,有毒熊,Waterbug,WhiteBear | |
| 天鹅绒chollima. | 天鹅绒千里马是一个总部位于朝鲜的威胁组织,至少从2013年9月以来一直活跃。该组织以试图阻止北韩核技术发展的韩国智库和团体为目标。 | Kimsuki,Kimsuky | |
| 粉虱 | “白蝇”(Whitefly)是一个至少自2017年以来就活跃的网络间谍组织。该组织主要针对新加坡多个行业的组织,主要窃取大量敏感信息。 | ||
| Windows可疑的过程 | 这些检测识别恶意行为者用于在主机环境中执行各种任务的攻击技术。 | ||
| 风移 | Windshift是自2017年以来一直活跃的威胁小组,并针对政府部门和中东临界基础设施的特定个人进行了针对监测的特定个人。 | 巴哈马特 | |
| w | WIRTE是一个至少从2018年8月开始就活跃的威胁组织。该组织主要针对中东地区的国防和外交人员。 | ||
| 向导的蜘蛛 | WIZARD SPIDER是一个受资金驱动的组织,至少从2018年8月开始就一直在进行勒索软件活动,主要针对大型组织。 | TEMP.MixMaster,可怕的蜘蛛 |
这个页面对你有帮助吗?