Darkhotel
“黑暗旅馆”是一个至少从2004年就开始活跃的威胁组织。这个小组在酒店和商务中心的WiFi和物理连接,点对点和文件共享网络上进行了活动。该威胁集团还进行了鱼叉式网络钓鱼攻击。
这种威胁的其他名称
APT-C-06,都柏林,辐射小组,卡尔巴,卢德,纳米姆,纳米姆,先锋,影鹤,SIG25,塔波克斯
以下是基于与此恶意演员相关的妥协指标的存在规则的集合。
可疑DNS请求-暗酒店相关域观察
描述
此检测标识一个请求,该请求解析一个公开已知与此特定恶意参与者关联的域。请注意,恶意行为者经常会使用被泄露的合法网站来达到恶意目的。
推荐
警报可能与最终用户的普通Web浏览活动相关。检查有问题的警报。如有必要,从已知的好的源重建主机,并让用户更改密码。
可疑进程-暗房相关二进制执行
描述
此检测标识具有与此特定恶意演员关联的哈希公众的文件的执行。请注意,恶意演员通常会使用公共系统管理工具进行恶意目的。
推荐
检查有问题的警报。如有必要,从已知的好的源重建主机,并让用户更改密码。
可疑的Web请求-暗酒店相关域被观察到
描述
此检测将公开已知与此特定恶意演员关联的域的请求识别。请注意,恶意演员往往会损害合法的网站以用于恶意目的。
推荐
警报可能与最终用户的普通Web浏览活动相关。检查有问题的警报。如有必要,从已知的好的源重建主机,并让用户更改密码。
这个页面对你有帮助吗?