沙丝球队
沙虫小组是一个以俄罗斯为基地的破坏性威胁组织,隶属于美国司法部和英国国家网络安全中心的俄罗斯GRU Unit 74455。Sandworm团队最引人注目的活动包括2015年和2016年对乌克兰电力公司的攻击,以及2017年对NotPetya的攻击。沙虫团队至少从2009年就开始活跃了。
这一威胁的其他名称
黑能量,黑能量(集团),ELECTRUM,铁维京,Quedagh, Sandworm, Telebots, TEMP.Noble, VOODOO BEAR
这是一组规则,基于公开报告的与此恶意行为者相关的妥协指标的存在。
可疑DNS请求 - 观察Sandworm团队相关域名
描述
此检测识别解析公众已知与此特定恶意演员关联的域的请求。请注意,恶意演员通常会使用受损的合法网站进行恶意目的。
建议
警报可能与终端用户的正常网页浏览活动有关。检查有问题的警报。如果有必要,可以从已知的可靠源重新构建主机,并让用户更改密码。
可疑进程-已执行沙虫团队相关二进制文件
描述
此检测标识具有与此特定恶意演员关联的哈希公众的文件的执行。请注意,恶意演员通常会使用公共系统管理工具进行恶意目的。
建议
检查有问题的警报。如果有必要,可以从已知的可靠源重新构建主机,并让用户更改密码。
可疑的Web请求-观察到沙虫团队相关域
描述
此检测将识别到一个公开已知与此特定恶意参与者关联的域的请求。请注意,恶意行为者经常会危及合法网站,以用于恶意目的。
建议
警报可能与终端用户的正常网页浏览活动有关。检查有问题的警报。如果有必要,可以从已知的可靠源重新构建主机,并让用户更改密码。
这个页面对你有帮助吗?