攻击者行为分析
攻击者行为检测规则分析来自事件源的端点流和日志事件,并查找可能指示攻击者行为的事件。Rapid7威胁情报团队经常更新我们的检测规则,以适应恶意行为者不断变化的战术。
通过威胁浏览我们现有的攻击者行为检测,并审查新发布的检测和可操作的建议。
| 集团 | 描述 | 备用名称 | |
|---|---|---|---|
| 恰当的组织 | 高级持续威胁(APT)集团是由国家或国家支持的集团运营的威胁行动者。我们现有的检测规则可以检测以下APT组:APT1、APT10、APT12、APT15、APT16、APT17、APT18、APT19、APT20、APT27、APT3、APT31、APT32、APT33、APT36、APT37、APT39、APT40、APT41、APT5。 | ||
| BlackOasis | 黑绿洲是一个以中东为基地的威胁组织。这个威胁组织的目标是联合国的知名人物、反对派博客、活动人士、地区新闻记者和智库。 | ||
| BlackTech | BlackTech是一个网络间谍组织,目标是东亚地区的受害者,主要是台湾、日本和香港。 | CIRCUIT PANDA, HUAPI,临时舷外 | |
| 盲目的鹰 | “盲鹰”是一个疑似南美间谍组织,至少自2018年以来一直活跃。该组织主要针对哥伦比亚政府机构和企业。 | APT-C-36 | |
| 青铜巴特勒 | 青铜巴特勒(BRONZE BUTLER)是一个似乎以中国为基地的网络间谍组织,至少从2008年就开始活跃。该组织主要针对日本组织。 | REDBALDKNIGHT,蜱虫 | |
| Carbanak | Carbanak是一个主要以银行为目标的威胁组织,也指同名的恶意软件。 | Anunak、碳蜘蛛 | |
| 钴集团 | Cobalt集团是一个以财务为动机的威胁集团,主要针对金融机构。该威胁集团以ATM、银行卡处理、支付和SWIFT系统为目标,实施了侵入窃取资金的行动。 | 钴,钴帮,钴蜘蛛,金王林 | |
| 黑暗狞猫 | 黑暗卡拉卡尔是黎巴嫩总安全总局(GDGS)的一个威胁组织,至少从2012年开始运作。 | ||
| Darkhotel | Darkhotel是一个威胁组织,它对酒店和商务中心的WiFi和物理连接,以及点对点和文件共享网络进行了活动。 | APT-C-06,都柏林,辐射小组,卡尔巴,卢德,纳米姆,纳米姆,先锋,影鹤,SIG25,塔波克斯 | |
| DarkHydrus | DarkHydrus是一个威胁组织,自2016年以来,该组织一直以中东的政府机构和教育机构为目标。 | LazyMeerkat | |
| 深的熊猫 | 深熊猫被怀疑是一个以中国为基地的威胁组织,目标包括政府、国防、金融和电信等多个行业。 | APT26,黑藤,13组,JerseyMikes,功夫小猫,PinkPanther, Shell Crew,涡轮熊猫,WebMasters | |
| DragonOK | “龙ok”是一个以网络钓鱼邮件攻击日本组织的威胁组织。 | Moafee | |
| 沙尘暴 | 沙尘暴是一个威胁组织,针对日本、韩国、美国、欧洲和一些东南亚国家的多个行业。 | 石头的熊猫 | |
| Elderwood | 该组织的目标是国防组织、供应链制造商、人权和非政府组织(ngo)以及IT服务提供商。 | 北京集团,接骨木帮,鬼祟熊猫 | |
| 精力充沛的熊 | 该组织最初的目标是国防和航空公司,但在2013年初转向了能源行业。该集团还瞄准了与工业控制系统相关的公司。 | 艾伦特,卧虎藏龙,蜻蜓,ELECTRUM, 24组,Havex,铁自由,考拉队,棕榈融合 | |
| 翅片组 | 金融威胁集团(FIN)由以金融机构为目标的行为体组成。以下规则基于公开信息检测FIN组的存在:FIN4、FIN5、FIN6、FIN7、FIN8、FIN10。 | ||
| Gallmaker | Gallmaker是一个网络间谍组织,目标是中东地区的受害者,主要目标是国防、军事和政府行业的受害者。 | ||
| Gamaredon集团 | 加马莱顿集团是一个至少从2013年就开始活跃的威胁组织,目标是可能与乌克兰政府有关的个人。 | ||
| GCMAN | GCMAN是一个以银行为目标,将资金转移到电子货币服务的威胁组织。 | ||
| Gorgon集团 | 高更集团是一个威胁组织,其成员被怀疑以巴基斯坦为基地,或与巴基斯坦有其他联系。这个威胁组织进行了犯罪和有针对性的攻击,包括针对英国、西班牙、俄罗斯和美国的政府组织的活动。 | ||
| Group5 | 第五组是一个疑似与伊朗有关联的威胁组织。这个威胁组织通过鱼叉式网络钓鱼和水坑攻击与叙利亚反对派有关的个人。 | ||
| 集团72 | 72集团是一个被怀疑与中国政府有关联的网络间谍组织。 | ||
| 蜜蜂 | “蜜蜂运动”是以人道主义援助组织为目标,在越南、新加坡、阿根廷、日本、印度尼西亚、加拿大等地进行了活动。 | ||
| KeyBoy | KeyBoy是一个独立的威胁组织,在台湾、菲律宾和香港领导了针对受害者的针对性活动。该威胁集团主要针对政府、医疗保健、运输和高科技行业。 | APT23,热带部队,海盗熊猫,热带部队 | |
| 拉撒路集团 | “拉撒路集团”被认为是北韩政府的威胁集团。 | Andariel, Appleworm, APT-C-26, APT38, Bluenoroff, 121局,COVELLITE,黑暗首尔,GOP, 77组,和平卫士,和平卫士,哈斯塔蒂集团,隐藏眼镜蛇,千里马迷宫,拉撒路,新罗马网络部队,镍学院,苹果耶稣行动,黑暗首尔行动,幽灵秘密行动,特洛伊行动,沉默千里马,星尘千lima,子组:Andariel,子组:Bluenoroff, 121单元,Whois黑客团队,Whois团队,锌 | |
| Leafminer | 叶矿工是伊朗的一个威胁组织,目标是中东的政府组织和商业实体。 | 斜钨铅矿 | |
| 莲花盛开 | 莲花是一个以东南亚政府和军事组织为目标的威胁组织。 | 龙鱼,Elise, Esile,春龙,ST集团 | |
| 弯刀 | “弯刀”是一个至少从2010年就开始活跃的威胁组织,目标是拉丁美洲国家的知名政府机构。 | El砍刀machete-apt | |
| Mofang | 莫方可能是一家总部位于中国的网络间谍组织,因其经常模仿受害者的基础设施而得名。 | 超人 | |
| Molerats | Molerats是一个有政治动机的威胁组织,自2012年以来一直活跃。该组织的主要目标是中东、欧洲和美国的受害者。 | 极端豺狼,加沙网络帮,加沙黑客队,月光,Molerats行动 | |
| MuddyWater | MuddyWater是一个以伊朗为基地的威胁组织,主要针对中东国家,但也针对欧洲和北美国家。该组织主要针对电信、政府IT服务和石油行业的受害者。 | Seedworm, Static Kitten, TEMP.Zagros | |
| Naikon | Naikon是一个威胁组织,主要关注南中国海周围的受害者。这个威胁组已经被归因于中国人民解放军(PLA)成都军区第二技术侦察局(军事单位掩护指示器78020)。 | APT30, APT.Naikon, Camerashy, Hellsing, Lotus Panda, Override Panda,解放军78020部队 | |
| 钕 | NEODYMIUM是一个活动团体,在2016年5月开展了一项活动,主要针对土耳其受害者。 | ||
| 夜龙 | 夜龙是一个主要以中国为基地的威胁组织的活动名称。 | ||
| 朝鲜国家赞助演员 | 朝鲜政府支持的行动者是一个威胁组织,专门针对安全研究人员进行妥协。必威体育西汉姆联官网 | ||
| Orangeworm | Orangeworm是一个威胁组织,至少从2015年开始就以美国、欧洲和亚洲的医疗保健行业组织为目标,怀疑其目的是进行商业间谍活动。 | ||
| 拼接而成 | Patchwork是一个至少从2015年12月就开始活跃的网络间谍组织。虽然这一群体还没有被确切地归因于印度,但间接证据表明,这一群体可能是亲印度或以印度为基础的实体。Patchwork的目标是与外交和政府机构有关的行业。 | APT-C-09, Chinastrats, drop Elephant, Hangover Group, MONSOON, Operation Hangover, Quilted Tiger, Sarit | |
| 铂 | 铂金是一个活动团体,目标是与南亚和东南亚的政府和相关组织有关的受害者。 | TwoForOne | |
| 波塞冬集团 | 波塞冬集团是一个威胁集团,利用从受害者那里获取的信息勒索公司,使其与波塞冬集团签约,成为一家安全公司。 | ||
| 钷 | Promethium是一个活动组织,在2016年5月开展了一项活动,主要针对土耳其受害者。 | StrongPity | |
| 怨恨 | “积怨”是一个威胁组织,领导了针对东南亚的有针对性的行动。 | 怨恨集团 | |
| Rocke | Rocke是一个据称讲中文的威胁组织,主要利用加密劫持窃取受害者系统资源来挖掘加密货币。 | ||
| RTM | RTM是一个网络犯罪集团,至少从2015年开始活跃,主要针对俄罗斯和邻国远程银行系统的受害者。 | ||
| SCADAfence | SCADAfence平台将可见性扩展到IT和OT网络。的检测规则集合InsightIDR SCADAFence集成. | ||
| 沙虫的团队 | 沙虫小组是一个以俄罗斯为基地的破坏性威胁组织,隶属于美国司法部和英国国家网络安全中心的俄罗斯GRU Unit 74455。 | 黑色能量,黑色能量(集团),ELECTRUM, Iron Viking, Quedagh, Sandworm, TeleBots, TEMP.Noble, VOODOO BEAR | |
| 鲜红的模仿 | 猩红模仿者是一个以少数民族权利活动人士为目标的威胁组织。该组织与政府没有直接联系,但其动机似乎与中国政府有重叠。 | ||
| SilverTerrier | 银梗是尼日利亚的一个威胁组织,自2014年以来一直很活跃。SilverTerrier主要针对高科技、高等教育和制造业的组织。 | ||
| 软细胞 | 据报道,“软细胞”是一个隶属于中国并由中国赞助的组织。该组织至少从2012年起就开始活跃,并对知名电信网络造成了损害。 | ||
| 鼠妇 | Sowbug是一个威胁组织,至少从2015年开始,它就对南美和东南亚的组织,尤其是政府实体进行了有针对性的袭击。 | ||
| 隐形猎鹰 | “隐形猎鹰”是一个威胁组织,至少从2012年开始,该组织就对阿联酋的记者、活动人士和异见人士实施有针对性的间谍软件攻击。 | FruityArmor | |
| 偷来的铅笔 | 被盗铅笔是一个疑似以朝鲜为基地的威胁组织,该组织至少从2018年5月开始活跃。这个威胁组织的目标似乎是学术机构,但其动机尚不清楚。 | ||
| 水黾 | Strider是一个威胁组织,至少从2011年开始活跃,目标是俄罗斯、中国、瑞典、比利时、伊朗和卢旺达的受害者。 | ProjectSauron | |
| Suckfly | “吸蝇”是一个以中国为基地的威胁组织,至少从2014年就开始活跃。 | 公理 | |
| TA459 | TA459被怀疑是一个以中国为基地的威胁组织,目标包括俄罗斯、白俄罗斯和蒙古等几个国家。 | ||
| Taidoor | 泰门是一个至少从2009年就开始活跃的威胁组织,主要针对台湾政府。 | ||
| 白色的公司 | 白色公司被怀疑是国家支持的具有先进能力的威胁行动者。从2017年到2018年,该组织领导了针对巴基斯坦政府和军事组织的“沙欣行动”(Operation Shaheen)间谍活动。 | ||
| 威胁集团- 1314 | 威胁组-1314是一个威胁组,它使用被破解的凭据登录到受害者远程访问基础设施。 | tg - 1314 | |
| 蓟马 | Thrip是一个间谍组织,目标是美国和东南亚的卫星通信、电信和国防承包商公司。 | Lotus熊猫 | |
| Turla | 图拉是一个总部设在俄罗斯的威胁组织,自2004年以来,该组织已在45个国家感染了受害者,涉及多个行业,包括政府、大使馆、军事、教育、研究和制药。必威体育西汉姆联官网 | 氪,蛇,图拉集团,毒熊,水虫,白熊 | |
| 天鹅绒千里马球队 | 天鹅绒千里马是一个总部位于朝鲜的威胁组织,至少从2013年9月以来一直活跃。该组织以试图阻止北韩核技术发展的韩国智库和团体为目标。 | Kimsuki, Kimsuky | |
| 粉虱 | “白蝇”(Whitefly)是一个至少自2017年以来就活跃的网络间谍组织。该组织主要针对新加坡多个行业的组织,主要窃取大量敏感信息。 | ||
| Windows可疑的过程 | 这些检测识别恶意行为者用于在主机环境中执行各种任务的攻击技术。 | ||
| Windshift | “风力转移”是一个至少从2017年就开始活跃的威胁组织,在整个中东地区的政府部门和关键基础设施中针对特定个人进行监视。 | Bahamut | |
| 写下来 | WIRTE是一个至少从2018年8月开始就活跃的威胁组织。该组织主要针对中东地区的国防和外交人员。 | ||
| 向导的蜘蛛 | WIZARD SPIDER是一个受资金驱动的组织,至少从2018年8月开始就一直在进行勒索软件活动,主要针对大型组织。 | TEMP.MixMaster,可怕的蜘蛛 |
这个页面对你有帮助吗?