高级持久性威胁组
高级持续性威胁(APT)团体是由民族国家或国家赞助团体运营的威胁参与者。我们的现成检测规则检测以下APT组:
- APT1.
- APT10
- APT12
- APT15
- APT16
- APT17
- APT18
- APT19
- APT20
- APT27.
- APT3.
- APT31.
- APT32.
- APT33.
- APT36.
- APT37.
- APT39.
- APT40
- APT41.
- APT5.
APT1.
APT1是中国威胁小组,归因于人民解放军(PLA)总参谋部(GSD)第三署的第二局,也称为其军事单位封面指定人(MUCD),单位61398。
此组的其他名称包括:
- 拜占庭坦丁
- 评论组
- 评论小组
- 评论熊猫
- GIF89A,第3组
- 解放军61398部队
- 沙拉特
- 上海集团
- 午休
- TG-8223
检测规则
这是一系列规则,基于与APT1相关的妥协指标的存在。
可疑DNS请求-观察到与APT1相关的域
描述
此检测识别请求,以解析已知与此特定恶意参与者关联的域。请注意,恶意参与者通常会出于恶意目的使用受损的合法网站。
推荐
警报可能与最终用户的普通Web浏览活动相关。查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
可疑过程 - APT1相关二进制执行
描述
此检测识别文件的执行,该文件的散列已知与此特定恶意参与者关联。请注意,恶意参与者通常会出于恶意目的使用通用系统管理工具。
推荐
查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
可疑Web请求 - APT1相关域观察到
描述
此检测将公开已知与此特定恶意演员关联的域的请求识别。请注意,恶意演员往往会损害合法的网站以用于恶意目的。
推荐
警报可能与最终用户的普通Web浏览活动相关。查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
APT10
APT10是一个威胁组织,似乎以中国为基地,大约从2009年开始活跃。该组织的目标是医疗保健、国防、航空航天和政府行业,至少从2014年起就以日本受害者为目标。2016年和2017年,该集团的目标是托管IT服务提供商、制造业和矿业公司以及一所大学。
此组的其他名称包括:
- cvnx.
- happyyongzi.
- 猪鱼
- 梅努帕斯
- Menupass团队
- 钾
- 红色阿波罗
- 大熊猫
检测规则
这是一系列规则,基于与APT10相关的公开报告的妥协指标的存在。
可疑DNS请求-观察到与APT10相关的域
描述
此检测识别请求,以解析已知与此特定恶意参与者关联的域。请注意,恶意参与者通常会出于恶意目的使用受损的合法网站。
推荐
警报可能与最终用户的普通Web浏览活动相关。查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
可疑进程-已执行与APT10相关的二进制文件
描述
此检测识别文件的执行,该文件的散列已知与此特定恶意参与者关联。请注意,恶意参与者通常会出于恶意目的使用通用系统管理工具。
推荐
查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
可疑Web请求-观察到与APT10相关的域
描述
此检测将公开已知与此特定恶意演员关联的域的请求识别。请注意,恶意演员往往会损害合法的网站以用于恶意目的。
推荐
警报可能与最终用户的普通Web浏览活动相关。查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
APT12
APT12是一个基于中国的威胁小组,目标是有几个受害者,包括媒体网点,高科技公司和政府。
此组的其他名称包括:
- CBeeBus
- 计算小组
- 深红色铁
- dnscalc.
- 迪恩卡尔
- 第22组
- 伊克谢
- 编号熊猫
- TG-2754
检测规则
这是一系列规则,基于与APT12相关的妥协指标的存在。
可疑DNS请求-观察到APT12相关域
描述
此检测识别请求,以解析已知与此特定恶意参与者关联的域。请注意,恶意参与者通常会出于恶意目的使用受损的合法网站。
推荐
警报可能与最终用户的普通Web浏览活动相关。查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
可疑过程 - APT12相关二进制执行
描述
此检测识别文件的执行,该文件的散列已知与此特定恶意参与者关联。请注意,恶意参与者通常会出于恶意目的使用通用系统管理工具。
推荐
查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
可疑Web请求 - APT12相关域观察到
描述
此检测将公开已知与此特定恶意演员关联的域的请求识别。请注意,恶意演员往往会损害合法的网站以用于恶意目的。
推荐
警报可能与最终用户的普通Web浏览活动相关。查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
APT15
APT15是一个以中国为基地的威胁组织,其目标包括石油、政府和军事等多个行业。
此组的其他名称包括:
- 格雷夫
- 科昌
- 海市蜃楼
- 顽皮的龙
- royal
- 蝰蛇熊猫
检测规则
这是一系列规则,基于与APT15相关的妥协指标的存在。
可疑DNS请求-观察到APT15相关域
描述
此检测识别请求,以解析已知与此特定恶意参与者关联的域。请注意,恶意参与者通常会出于恶意目的使用受损的合法网站。
推荐
警报可能与最终用户的普通Web浏览活动相关。查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
可疑进程-已执行与APT15相关的二进制文件
描述
此检测识别文件的执行,该文件的散列已知与此特定恶意参与者关联。请注意,恶意参与者通常会出于恶意目的使用通用系统管理工具。
推荐
查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
可疑Web请求-观察到APT15相关域
描述
此检测将公开已知与此特定恶意演员关联的域的请求识别。请注意,恶意演员往往会损害合法的网站以用于恶意目的。
推荐
警报可能与最终用户的普通Web浏览活动相关。查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
APT16
APT16是一个基于中国的威胁小组,推出了针对日本和台湾组织的矛网络钓鱼活动。
该组也被称为:
- svcmondr.
检测规则
这是一系列规则,基于与APT16相关的公开报告的妥协指标的存在。
可疑DNS请求 - APT16相关域观察到
描述
此检测识别请求,以解析已知与此特定恶意参与者关联的域。请注意,恶意参与者通常会出于恶意目的使用受损的合法网站。
推荐
警报可能与最终用户的普通Web浏览活动相关。查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
可疑过程 - APT16相关二进制执行
描述
此检测识别文件的执行,该文件的散列已知与此特定恶意参与者关联。请注意,恶意参与者通常会出于恶意目的使用通用系统管理工具。
推荐
查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
可疑Web请求 - APT16相关域观察到
描述
此检测将公开已知与此特定恶意演员关联的域的请求识别。请注意,恶意演员往往会损害合法的网站以用于恶意目的。
推荐
警报可能与最终用户的普通Web浏览活动相关。查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
APT17
APT17是一家以中国政府实体,国防工业,律师事务所,信息技术和矿业公司以及非政府组织进行网络入侵。
此组的其他名称包括:
- 极光熊猫
- 副犬
- 鲨鱼
- 第8组
- 隐藏的lynx.
- 尾随者
- 追尾队
检测规则
这是一组基于公开报告的与APT17相关的妥协指标的规则。
可疑DNS请求-观察到APT17相关域
描述
此检测识别请求,以解析已知与此特定恶意参与者关联的域。请注意,恶意参与者通常会出于恶意目的使用受损的合法网站。
推荐
警报可能与最终用户的普通Web浏览活动相关。查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
可疑过程 - APT17相关二进制执行
描述
此检测识别文件的执行,该文件的散列已知与此特定恶意参与者关联。请注意,恶意参与者通常会出于恶意目的使用通用系统管理工具。
推荐
查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
可疑Web请求 - APT17相关域观察到
描述
此检测将公开已知与此特定恶意演员关联的域的请求识别。请注意,恶意演员往往会损害合法的网站以用于恶意目的。
推荐
警报可能与最终用户的普通Web浏览活动相关。查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
APT18
APT18是自2009年以来经营的威胁小组,并针对了几个行业,包括技术,制造,人权群体,政府和医疗。
此组的其他名称包括:
- 炸药熊猫
- TG-0416
- 威胁组-0416
- 韦克比
检测规则
这是一组基于公开报告的与APT18相关的妥协指标的规则。
可疑DNS请求 - APT18相关域名观察到
描述
此检测识别请求,以解析已知与此特定恶意参与者关联的域。请注意,恶意参与者通常会出于恶意目的使用受损的合法网站。
推荐
警报可能与最终用户的普通Web浏览活动相关。查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
可疑进程-已执行与APT18相关的二进制文件
描述
此检测识别文件的执行,该文件的散列已知与此特定恶意参与者关联。请注意,恶意参与者通常会出于恶意目的使用通用系统管理工具。
推荐
查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
可疑Web请求 - APT18相关域观察到
描述
此检测将公开已知与此特定恶意演员关联的域的请求识别。请注意,恶意演员往往会损害合法的网站以用于恶意目的。
推荐
警报可能与最终用户的普通Web浏览活动相关。查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
APT19
APT19是一个基于中国的威胁组,目标是若干行业,包括国防,金融,能源,制药,电信,高科技,教育,制造和法律服务。2017年,该集团使用网络钓鱼活动来定位七个法律和投资公司。有些研究人必威体育西汉姆联官网员将APT19和Deep Panda联系在一起,但如果组是相同的,则不清楚开源信息。
此组的其他名称包括:
- c0d0so0.
- 密码子
- Codoso团队
- 壳牌船员
- 阳光商店集团
检测规则
这是一组基于公开报告的与APT19相关的妥协指标的规则。
可疑DNS请求 - APT19相关域观察到
描述
此检测识别请求,以解析已知与此特定恶意参与者关联的域。请注意,恶意参与者通常会出于恶意目的使用受损的合法网站。
推荐
警报可能与最终用户的普通Web浏览活动相关。查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
可疑进程-已执行与APT19相关的二进制文件
描述
此检测识别文件的执行,该文件的散列已知与此特定恶意参与者关联。请注意,恶意参与者通常会出于恶意目的使用通用系统管理工具。
推荐
查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
可疑Web请求 - APT19相关域观察到
描述
此检测将公开已知与此特定恶意演员关联的域的请求识别。请注意,恶意演员往往会损害合法的网站以用于恶意目的。
推荐
警报可能与最终用户的普通Web浏览活动相关。查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
APT20
APT20是一个基于中国的威胁组,主要用于针对受害者的矛网络钓鱼和浇水孔攻击。以下是基于与此恶意演员相关的妥协指标的存在规则的集合。
此组的其他名称包括:
- APT8.
- th3bug.
- 小提琴熊猫
检测规则
这是一系列规则,基于与APT20相关的公开报告的妥协指标的存在。
可疑DNS请求 - APT20相关域观察到
描述
此检测识别请求,以解析已知与此特定恶意参与者关联的域。请注意,恶意参与者通常会出于恶意目的使用受损的合法网站。
推荐
警报可能与最终用户的普通Web浏览活动相关。查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
可疑过程 - APT20相关二进制执行
描述
此检测识别文件的执行,该文件的散列已知与此特定恶意参与者关联。请注意,恶意参与者通常会出于恶意目的使用通用系统管理工具。
推荐
查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
可疑Web请求 - APT20相关域观察到
描述
此检测将公开已知与此特定恶意演员关联的域的请求识别。请注意,恶意演员往往会损害合法的网站以用于恶意目的。
推荐
警报可能与最终用户的普通Web浏览活动相关。查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
APT27.
APT27是一家总部位于中国的威胁组织,主要利用战略性网络妥协来打击受害者。该组织至少从2010年起就一直活跃,其目标是航空航天、政府、国防、技术、能源和制造业的组织。
此组的其他名称包括:
- 青铜联盟
- 熊猫使者
- 第35组
- 河马团队
- 铁老虎
- 铁老虎apt
- 幸运鼠
- 幸运
- temp.hippo.
- TG-3390
- 威胁组3390
- 威胁集团-3390
- Ziptoken.
检测规则
这是一系列规则,基于与APT27相关的妥协指标的存在。
可疑DNS请求 - APT27相关域观察到
描述
此检测识别请求,以解析已知与此特定恶意参与者关联的域。请注意,恶意参与者通常会出于恶意目的使用受损的合法网站。
推荐
警报可能与最终用户的普通Web浏览活动相关。查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
可疑过程 - APT27相关二进制执行
描述
此检测识别文件的执行,该文件的散列已知与此特定恶意参与者关联。请注意,恶意参与者通常会出于恶意目的使用通用系统管理工具。
推荐
查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
可疑Web请求-观察到APT27相关域
描述
此检测将公开已知与此特定恶意演员关联的域的请求识别。请注意,恶意演员往往会损害合法的网站以用于恶意目的。
推荐
警报可能与最终用户的普通Web浏览活动相关。查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
APT3.
APT3是中国国家安全部下属的中国威胁组织。该小组负责秘密狐狸行动、秘密狼行动和双击行动。截至2015年6月,这个组织似乎已经从主要针对美国受害者的目标转变为香港的政治组织。
此组的其他名称包括:
- Boyusec.
- Buckeye.
- 哥特式熊猫
- 第6组
- 皮尔皮
- TG-0110
- 威胁组-0110
- UPS
- UPS团队
检测规则
这是一系列规则,基于与APT3相关的妥协指标的存在。
可疑DNS请求 - APT3相关域观察到
描述
此检测识别请求,以解析已知与此特定恶意参与者关联的域。请注意,恶意参与者通常会出于恶意目的使用受损的合法网站。
推荐
警报可能与最终用户的普通Web浏览活动相关。查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
可疑进程-已执行与APT3相关的二进制文件
描述
此检测识别文件的执行,该文件的散列已知与此特定恶意参与者关联。请注意,恶意参与者通常会出于恶意目的使用通用系统管理工具。
推荐
查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
可疑Web请求 - APT3相关域观察到
描述
此检测将公开已知与此特定恶意演员关联的域的请求识别。请注意,恶意演员往往会损害合法的网站以用于恶意目的。
推荐
警报可能与最终用户的普通Web浏览活动相关。查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
APT31.
APT31是一个专门从事知识产权盗窃的威胁组织,专注于使特定组织在其领域具有竞争力的数据和项目。根据现有数据,APT31似乎是应中国政府的要求进行网络运营的。这一威胁集团还涉嫌继续以上游供应商为目标,如律师事务所和托管服务提供商,以支持对知名资产的额外入侵。2018年,通过矛式网络钓鱼、URL“web bug”和计划任务来自动获取凭证,观察到该威胁组。
此组的其他名称包括:
- 青铜葡萄木
- 飓风熊猫
- 判断熊猫
- 临时复仇者
- 锆
检测规则
这是基于与APT31相关的公开报告的妥协指标的存在的规则集合。
可疑DNS请求 - APT31相关域观察到
描述
此检测识别请求,以解析已知与此特定恶意参与者关联的域。请注意,恶意参与者通常会出于恶意目的使用受损的合法网站。
推荐
警报可能与最终用户的普通Web浏览活动相关。查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
可疑进程-已执行与APT31相关的二进制文件
描述
此检测识别文件的执行,该文件的散列已知与此特定恶意参与者关联。请注意,恶意参与者通常会出于恶意目的使用通用系统管理工具。
推荐
查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
可疑Web请求 - APT31相关域观察到
描述
此检测将公开已知与此特定恶意演员关联的域的请求识别。请注意,恶意演员往往会损害合法的网站以用于恶意目的。
推荐
警报可能与最终用户的普通Web浏览活动相关。查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
APT32.
APT32是自从2014年以来一直活跃的威胁小组。该集团似乎是越南的,并针对多个私营部门行业,外国政府,持不同政见者和记者,以越南等东南亚国家为中心,如越南,菲律宾,老挝和柬埔寨。该威胁小组主要在受害者上使用战略网络妥协。
此组的其他名称包括:
- APT-C-00
- Cobalt Kitty.
- 海洋水牛
- 海莲花
- 欧海陆
- 海莲集团
- 池塘龙村
- Sealotus.
- 田伍德伦
检测规则
这是一系列规则,基于与APT32相关联的妥协指标的存在。
可疑DNS请求-观察到APT32相关域
描述
此检测识别请求,以解析已知与此特定恶意参与者关联的域。请注意,恶意参与者通常会出于恶意目的使用受损的合法网站。
推荐
警报可能与最终用户的普通Web浏览活动相关。查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
可疑过程 - APT32相关二进制执行
描述
此检测识别文件的执行,该文件的散列已知与此特定恶意参与者关联。请注意,恶意参与者通常会出于恶意目的使用通用系统管理工具。
推荐
查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
可疑Web请求-观察到APT32相关域
描述
此检测将公开已知与此特定恶意演员关联的域的请求识别。请注意,恶意演员往往会损害合法的网站以用于恶意目的。
推荐
警报可能与最终用户的普通Web浏览活动相关。查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
APT33.
APT33是一个疑似伊朗的威胁组,自从2013年以来一直活跃。该威胁小组在美国,沙特阿拉伯和韩国的多个行业上有针对性的组织,并侧重于航空和能源产业。
此组的其他名称包括:
- 钴三位一体
- 艾瑞林,钬
- mangallium.
- 精致的小猫
检测规则
这是一系列规则,基于与APT33相关的妥协指标的存在。
可疑DNS请求 - APT33观察到相关域
描述
此检测识别请求,以解析已知与此特定恶意参与者关联的域。请注意,恶意参与者通常会出于恶意目的使用受损的合法网站。
推荐
警报可能与最终用户的普通Web浏览活动相关。查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
可疑进程-已执行APT33相关二进制文件
描述
此检测识别文件的执行,该文件的散列已知与此特定恶意参与者关联。请注意,恶意参与者通常会出于恶意目的使用通用系统管理工具。
推荐
查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
可疑Web请求-观察到APT33相关域
描述
此检测将公开已知与此特定恶意演员关联的域的请求识别。请注意,恶意演员往往会损害合法的网站以用于恶意目的。
推荐
警报可能与最终用户的普通Web浏览活动相关。查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
APT36.
APT36是一个以巴基斯坦为基地的威胁组织,其目标是印度军队或在印度的相关资产,以及巴基斯坦的活动家和公民社会。
此组的其他名称包括:
- C-MARE.
- 神豹
- 操作C-MARK
- projectm.
- 青金石
- 透明部落
检测规则
这是一系列规则,基于与APT36相关的妥协指标的存在。
可疑DNS请求 - APT36相关域观察到
描述
此检测识别请求,以解析已知与此特定恶意参与者关联的域。请注意,恶意参与者通常会出于恶意目的使用受损的合法网站。
推荐
警报可能与最终用户的普通Web浏览活动相关。查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
可疑进程-已执行APT36相关二进制文件
描述
此检测识别文件的执行,该文件的散列已知与此特定恶意参与者关联。请注意,恶意参与者通常会出于恶意目的使用通用系统管理工具。
推荐
查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
可疑Web请求 - APT36相关域观察到
描述
此检测将公开已知与此特定恶意演员关联的域的请求识别。请注意,恶意演员往往会损害合法的网站以用于恶意目的。
推荐
警报可能与最终用户的普通Web浏览活动相关。查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
APT37.
APT37是一个疑似朝鲜Cyber Espionage集团,自2012年以来一直活跃。该集团主要针对韩国的受害者,但也有针对日本,越南,俄罗斯,尼泊尔,中国,印度,罗马尼亚,科威特的受害者,和中东的其他部分。APT37也与2016年和2018年之间的以下活动有关:运作截阵爆炸,操作Erebus,黄金时期,邪恶的新年,您是快乐的吗?,Freemilk,朝鲜人权和邪恶的新年2018年。朝鲜集团定义是据报道,据报道,Lazarus集团的名称包括广泛的活动。有些组织使用Lazarus集团的名称来指代朝鲜的任何活动。一些组织跟踪朝鲜集群或团体,如Bluenoroff,APT37和APT38,而其他组织通过名称Lazarus集团的名称跟踪一些与这些组名称相关的活动。
此组的其他名称包括:
- 第123组
- Group123
- 拂晓攻击
- 操作erebus.
- 收割者
- 收割者组
- 红眼
- Ricochet Chollima
- 曲折
- Starcruft
- 临时收割机
- 金星121
检测规则
这是一系列规则,基于与APT37相关的妥协指标的存在。
可疑DNS请求-观察到APT37相关域
描述
此检测识别请求,以解析已知与此特定恶意参与者关联的域。请注意,恶意参与者通常会出于恶意目的使用受损的合法网站。
推荐
警报可能与最终用户的普通Web浏览活动相关。查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
可疑过程 - APT37相关二进制执行
描述
此检测识别文件的执行,该文件的散列已知与此特定恶意参与者关联。请注意,恶意参与者通常会出于恶意目的使用通用系统管理工具。
推荐
查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
可疑Web请求-观察到APT37相关域
描述
此检测将公开已知与此特定恶意演员关联的域的请求识别。请注意,恶意演员往往会损害合法的网站以用于恶意目的。
推荐
警报可能与最终用户的普通Web浏览活动相关。查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
APT39.
APT39是一名伊朗网络间谍群体,自2014年至少以来一直活跃。该威胁集团已针对电信和旅游行业,收集与伊朗国家优先事项对齐的个人信息
此组的其他名称包括:
- 金龟子
- 希克曼钴
- 铱
- 混音小猫
检测规则
这是一系列规则,基于与APT39相关的妥协指标的存在。
可疑DNS请求-观察到APT39相关域
描述
此检测识别请求,以解析已知与此特定恶意参与者关联的域。请注意,恶意参与者通常会出于恶意目的使用受损的合法网站。
推荐
警报可能与最终用户的普通Web浏览活动相关。查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
可疑过程 - APT39相关二进制执行
描述
此检测识别文件的执行,该文件的散列已知与此特定恶意参与者关联。请注意,恶意参与者通常会出于恶意目的使用通用系统管理工具。
推荐
查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
可疑Web请求 - APT39相关域观察到
描述
此检测将公开已知与此特定恶意演员关联的域的请求识别。请注意,恶意演员往往会损害合法的网站以用于恶意目的。
推荐
警报可能与最终用户的普通Web浏览活动相关。查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
APT40
APT40是一个网络间谍组织,至少自2013年以来一直活跃。该组织主要针对国防和政府组织,但也针对其他行业,包括美国、西欧和南海沿岸的工程公司、航运和运输、制造业、国防、政府办公室和研究型大学。必威体育西汉姆联官网
此组的其他名称包括:
- 青铜莫霍克
- 钆
- 利维坦
- temp.jumper.
- 温度潜望镜
检测规则
这是一系列规则,基于与APT40相关的公开报告的妥协指标的存在。
可疑DNS请求 - APT40相关域观察到
描述
此检测识别请求,以解析已知与此特定恶意参与者关联的域。请注意,恶意参与者通常会出于恶意目的使用受损的合法网站。
推荐
警报可能与最终用户的普通Web浏览活动相关。查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
可疑进程-已执行与APT40相关的二进制文件
描述
此检测识别文件的执行,该文件的散列已知与此特定恶意参与者关联。请注意,恶意参与者通常会出于恶意目的使用通用系统管理工具。
推荐
查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
可疑Web请求 - APT40相关域观察到
描述
此检测将公开已知与此特定恶意演员关联的域的请求识别。请注意,恶意演员往往会损害合法的网站以用于恶意目的。
推荐
警报可能与最终用户的普通Web浏览活动相关。查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
APT41.
APT41是一个威胁群体,履行中国国家赞助的间谍和经济动机活动。APT41自2012年以来一直活跃。该集团在14个国家有针对性的医疗保健,电信,技术和视频游戏行业。
与此组关联的其他名称包括:
- 公理
- 蚋
- 带领
- 邪恶的熊猫
- 邪恶的蜘蛛
- Winnti
- Winnti集团
- Winnti伞
检测规则
这是一系列规则,基于与APT41相关的妥协指标的存在指标。
可疑DNS请求-观察到APT41相关域
描述
此检测识别请求,以解析已知与此特定恶意参与者关联的域。请注意,恶意参与者通常会出于恶意目的使用受损的合法网站。
推荐
警报可能与最终用户的普通Web浏览活动相关。查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
可疑过程 - APT41相关二进制执行
描述
此检测识别文件的执行,该文件的散列已知与此特定恶意参与者关联。请注意,恶意参与者通常会出于恶意目的使用通用系统管理工具。
推荐
查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
可疑Web请求-观察到APT41相关域
描述
此检测将公开已知与此特定恶意演员关联的域的请求识别。请注意,恶意演员往往会损害合法的网站以用于恶意目的。
推荐
警报可能与最终用户的普通Web浏览活动相关。查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
APT5.
APT5是怀疑基于中文的威胁组,它使用多种类型的恶意软件来维护命令和控制。
与此组关联的其他名称包括:
- 青铜弗雷特伍德
- 锰
- 皮布达
- 皮提格
检测规则
这是一系列规则,基于与APT5相关的妥协指标的存在。
可疑DNS请求-观察到APT5相关域
描述
此检测识别请求,以解析已知与此特定恶意参与者关联的域。请注意,恶意参与者通常会出于恶意目的使用受损的合法网站。
推荐
警报可能与最终用户的普通Web浏览活动相关。查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
可疑过程 - APT5相关二进制执行
描述
此检测识别文件的执行,该文件的散列已知与此特定恶意参与者关联。请注意,恶意参与者通常会出于恶意目的使用通用系统管理工具。
推荐
查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。
可疑Web请求-观察到APT5相关域
描述
此检测将公开已知与此特定恶意演员关联的域的请求识别。请注意,恶意演员往往会损害合法的网站以用于恶意目的。
推荐
警报可能与最终用户的普通Web浏览活动相关。查看有问题的警报。如有必要,请从已知的良好来源重建主机,并让用户更改其密码。