严重性
高的
分析总结
APT-17,也被称为“Bitter APT”或“DeputyDog”,是一个国家支持的网络间谍组织,据信在中国境外开展活动。它们至少自 2012 年起就一直活跃,主要针对航空航天、国防和技术行业的组织。他们以中国、巴基斯坦和沙特阿拉伯为目标而闻名,并已将目光扩大到孟加拉国政府机构。该组织以使用各种定制恶意软件和工具来执行其操作而闻名,包括远程访问木马 (RAT)、键盘记录程序和后门。众所周知,该组织的恶意软件非常复杂、多阶段,并使用一系列技术来逃避检测,例如代码签名、使用合法工具和第三方工具以及使用加密通信。众所周知,他们还利用鱼叉式网络钓鱼活动来获得对目标系统的初始访问权限。他们已经活跃了十多年,并使用各种定制恶意软件和工具来执行其操作。这些部门的组织应了解威胁行为者,并采取适当措施防范他们的攻击。这包括实施强大的安全措施,例如高级威胁检测和响应能力,以及如何识别和响应鱼叉式网络钓鱼活动的员工培训。在最新的一项活动中,观察到该组织使用 Powershell 和curl 而不是msiexe。这些部门的组织应了解威胁行为者,并采取适当措施防范他们的攻击。这包括实施强大的安全措施,例如高级威胁检测和响应能力,以及如何识别和响应鱼叉式网络钓鱼活动的员工培训。在最新的一项活动中,观察到该组织使用 Powershell 和curl 而不是msiexe。这些部门的组织应了解威胁行为者,并采取适当措施防范他们的攻击。这包括实施强大的安全措施,例如高级威胁检测和响应能力,以及如何识别和响应鱼叉式网络钓鱼活动的员工培训。在最新的一项活动中,观察到该组织使用 Powershell 和curl 而不是msiexe。
影响
信息盗窃和间谍活动
IOC
域名
winterfortieth.net
MD5
0b4aab3d1e2946b15b70a63187c1f927
SHA-256
413d0aacddad41105f9f04de12cae9420919083796ed856df47ee2c7b3767fda
SHA-1
dd9342faa65376801a26f0a58534c7e4cbffc614
补救措施
在您的环境中搜索IOC。
在您各自的控制下阻止所有威胁指示灯。
除了网络和系统强化外,还应在组织内实施代码强化,以确保其网站和软件的安全。使用测试工具来检测已部署代码中的任何漏洞。
及时修补和升级任何平台和软件,并将其纳入标准安全策略。优先修补已知被利用的漏洞和零日漏洞。
启用防病毒和反恶意软件,并及时更新签名定义。使用多层保护对于保护易受攻击的资产是必要的。
转载来源:https://www.rewterz.com/rewterz-news/rewterz-threat-alert-bitter-apt-group-active-iocs-35/
图片来源网络侵权可联系删除