最近,路通社遵照法院命令,暂时删除了一篇关于印度黑客雇佣公司的报道。
以下是这篇报道中主要引用的报告《猎象|印度黑客雇佣组织深度揭秘》的内容。
摘要
SentinelLabs 最新调查揭示了 Appin Security Group 的秘密行动,这是一家在黑客雇佣领域颇具名气的组织。我们的深入分析发现了许多全球性网络入侵事件,涉及间谍、监视和破坏等多种情形。特别是,我们有充分证据将这些网络攻击与挪威、巴基斯坦、中国和印度等多个国家的入侵事件联系起来。随着黑客雇佣行业的演变,为私人企业和政府提供的服务种类愈加丰富。虽然之前有过公开披露,但关于恶意软件、漏洞和网络基础设施的开发仍然颇具神秘。我们的调查为了解这些复杂操作流程提供了关键见解。
概述
被雇佣的黑客威胁行为者有许多称呼,如雇佣监视、雇佣兵、私营部门攻击行为者(PSOAs)、非国家攻击威胁行为者等。这些群体对安全研究人员和网络防御者来说是一大挑战,也是所有组织都应严肃对待的威胁。值得一提的是,积极追踪并分析这些威胁行为者的历史和当前行动,以理解其深远影响,已成为业界的热点。包括我们在内的多家机构,如 Void Balaur 和 Meta,都曾发布报告强调这一点。
在本报告中,我们基于对 Appin 商业活动的深入审查,分享了一系列关于其黑客雇佣行动的独特、非公开且经技术验证的发现。这些数据来源于路透社调查记者的提供,经过我们全面分析后,我们相信这些数据与已知的 Appin 入侵案例密切相关,准确反映了其内部通信,并且来源于 Appin 组织的安全部门——正式名为 Appin Software Security,非正式名为 Appin Security Group (ASG)。
Appin 简介
自 2009 年起,Appin 作为印度首家黑客雇佣公司,提供攻击性安全培训和隐秘黑客行动。他们的前员工后来成立了新的竞争对手和合作伙伴,推动 Appin 品牌的演变,并涉足网络安全防御行业。Appin 的广泛影响至今仍可见,当前印度 APT(高级持续性威胁)活动很多都与原始 Appin 公司集团有所关联。Appin 执行的行动涉及广泛客户群,包括全球的政府机构和私营企业。
我们的分析和观察支持了 2022 年 6 月路透社的报道,报道指出 Appin 的客户群中有许多与重大法律诉讼相关的组织。该集团针对高价值个人、政府机构和涉及特定法律纠纷的其他企业进行黑客攻击。尽管 Appin 的行动和组织在某些时候看起来不够正规、笨拙且技术上粗糙,但它们在为客户取得成功方面却表现出色,对全球事务产生了显著影响。
受害者及与先前报道的联系
这次揭露的黑客攻击目标广泛,涉及全球范围内的独特对象和确认的受害者。根据数据,受害者分布在美国、加拿大、中国、印度、缅甸、科威特、孟加拉国、阿拉伯联合酋长国、巴基斯坦等多个国家和地区。被攻击的设备涉及与政府机构和不同行业的企业相关联的多种设备。需要指出的是,上述受害者名单并非完整,仅代表某一特定时刻的情况快照,而不是对所有攻击目标和受害者的全面梳理。
(图已删)
受害者信标源 IP 的可视化展示
从威胁情报的角度来看,这些数据详细标识了一些引起公众关注的特定受害者。来自与印度有关联的威胁行为者对中国和巴基斯坦的网络攻击并不罕见;然而,确认是一家印度本地黑客雇佣团体参与这些行动,这为解读印度发起的被推测为国家支持的网络攻击提供了新的视角。我们不仅确认了一些已知的受害情况,还发现了此前未曾揭露的受害者:
巴基斯坦政府官员
这些官员的系统被成功渗透,他们的电脑中的键盘记录器数据被发送到 Appin 控制的服务器。这些数据包含个人社交媒体和电子邮件账号的登录信息、政府网站的登录信息,以及一些日常网站的浏览记录,如旅游、游戏和色情网站。ESET 在 2013 年的报告指出,针对巴基斯坦的网络攻击在随后几年持续进行,这在下文的“宿醉行动”报告中也有所提及。
中国政府官员
自2009 年以来,有多起针对中国政府官员的数据盗窃案例。这包括多名中国人民解放军官员的系统被成功侵入。在同一时期,一些军事联络官员的系统也遭到了同样的入侵。值得注意的是,这些攻击发生在印度政府官员公开声明他们发现对印度政府网络的攻击,并将其归咎于中国之后不久。
Appin 操作人员请求购买 taraanasongs[.]com 域名
基础设施的获取与使用
领先的黑客雇佣组织必须巧妙分割他们的基础设施,以避免被发现。一旦研究人员找到连接其全部基础设施的线索,就可能使他们为客户进行的所有操作暴露于风险之中。
多年来,Appin 通过特定的外部合同商来获取和管理其基础设施。这个合同商负责注册域名,并根据项目需求搭建托管解决方案。Appin 的操作人员会提出服务器的需求,包括一些技术规格,以及指定哪位操作人员负责使用。
然后,这位顾问会购买并设置服务器,按照指示进行操作,为操作人员和 Appin 领导层提供远程访问的凭证,并最终以一份详细的付款发票结束此次交易。根据我们审查的数据显示,这位顾问通过多个重复使用的个人和商业品牌电邮账户进行购买,且注册和托管的细节经常有所重叠。
向 Appin 开具的恶意 FTP 域名和 VPS 服务器费用发票
请求的服务器类型一般都围绕几个核心用途。
stealth@devinmartin[.]net
keylogs@devinmartin[.]net
radar@devinmartin[.]net
123456@devinmartin[.]net
devinmartin@devinmartin[.]net
revolution@devinmartin[.]net
devinmart@devinmartin[.]net
reloaded@devinmartin[.]net
cinema@devinmartin[.]net
lux@devinmartin[.]net
来自 C2 服务器的数据窃取日志,涉及受害者 IP 已进行隐私处理
C2 / 交付服务器 bluecreams[.]com 及其链接的恶意软件可视化展示
网络钓鱼 - 托管用于获取登录凭证的钓鱼网页。在许多案例中,相同的钓鱼页面可以通过多个以目标命名的子域名和 URL 访问。
诱饵网站 - 一种有趣的手段是利用所谓的“蜜罐”网站。这些网站通常会围绕某一特定主题设计,吸引目标进行互动,目的是进行凭证钓鱼或传播恶意软件。例如,islam-jindabad.blogspot[.]com 就是这样的一个网站,直到本文撰写时仍然在线。它创建于 2009 年,并被 Appin 的操作人员用作“蜜罐”。该域名引导到另一个域名,用户在点击图片后会下载恶意软件。这些图片的链接目的地是 gmail-loginchk.freehostia[.]com/raj1.php。
恶意诱饵网站,链接到恶意软件下载
VPS 服务器 - 一种多功能的通用服务器,用于匿名访问受害者的电脑和管理攻击基础设施。这类服务器通常通过 SSH 进行访问。此外,Appin 还采用了一种非常规服务器类型进行秘密通信。公司使用特定的网站来追踪客户项目和分享数据。这些服务器被称为 GoldenEye、Commando 或 MyCommando,客户可以登录这些平台来查看和下载与特定活动相关的数据和状态更新,进行安全通讯,并管理他们项目的其他方面。
隐秘通信登录
这正是之前在 Appin 的市场推广演示中出现的“Secured Project Management Portal”(安全项目管理门户),该门户首次由路透社在其 2022 年 6 月的雇佣黑客调查报告中公开。
Appin 市场推广文档显示隐秘通信门户
恶意软件和漏洞开发
Appin 利用位于加利福尼亚的自由职业平台 Elance(现更名为 Upwork)从外部软件开发者那里购买恶意软件,同时还利用内部员工来开发这些项目及其自有工具。Appin 在 Elance 上使用“appinsecuritygroup”作为用户名发布职位,并创建了一个包含 Appin 高管全名和 appinonline[.]com 邮箱地址的个人资料。
一个关于 Elance 使用的例子是从自由职业者“alexstinger”那里购买 USB 传播器工具。最初的职位发布标题是“创建高级数据备份工具”。这个工具也在“宿醉行动”报告中被提到。该工具的原始版本在 2009 年以 500 美元的价格购买,包括故障排除和源代码交付。Elance 上的工作任务在 2009 年 7 月 15 日完成。
由“alexstinger”提供的源代码文件
“alexstinger”提供的源代码快照
Appin 在 Elance 上也发布了许多其他软件项目的广告,其中包括:
Windows 系统的音频录制软件
为 C 语言和 Visual C++ 创建代码混淆工具
针对 MS Office 和 IE 的研究用途漏洞利用
开发 MS Office 漏洞利用工具以升级我们的 IPS/防病毒性能!
在东欧进行漏洞研究的研发
“在东欧进行漏洞研究的研发”项目招聘的工作描述摘要如下:
描述
向东欧专家组织每月以保留金方式外包漏洞和漏洞利用研究
所需技能
漏洞和漏洞利用收集,漏洞利用开发
焦点/交付成果
在现有漏洞上开发漏洞利用工具或定制与 MS Office(Word、Excel、PowerPoint 2007/2003 等)、Adobe PDF、浏览器 IE 6/7、Mozilla Firefox、Opera 相关的互联网漏洞利用样本。
最低期望
每月至少提供两个漏洞利用,漏洞利用应可与有效载荷定制,尽可能减少被杀毒软件检测,每周报告成功/失败情况。
支付
每月 1000 美元
这些工作职位的一个常见问题是,由于报酬低且存在恶意使用的疑虑,自由职业者通常会迅速拒绝这些工作。
此外,Appin 多年来也使用了大量的私人间谍软件和漏洞利用服务。例如,2010 年,他们通过 Vervata 购买了移动间谍软件服务,Vervata 是 FlexiSPY 移动跟踪软件的开发商。在这笔交易中,操作人员使用 mobilebackup[.]biz 域名来获取安装指南、软件下载,以及审查受害者的移动设备数据。尽管这是过去的数据,但 FlexiSPY 跟踪软件至今仍在市场上销售。
Vervata主页的存档快照,当时的FlexiSPY产品提供
存档的Flexispy登录门户2010年
Appin 后来从当时领先的私人供应商那里购买了漏洞利用,包括 Vupen 和 Core Security。商业利益还涉及 Appin 担任 Vupen 向印度政府提供漏洞利用经销商的机会。
Vupen 和 Appin 漏洞利用订阅协议文档
如前所述,一些恶意软件是内部开发的,包括键盘记录器。相关数据和通信揭示了一名员工在2009年8月首次向Appin领导层分享他们对键盘记录器的开发的初衷。在一条经过审查的消息中,该员工指出正在构建一个新的键盘记录器,该记录器能够将日志上传到FTP服务器。
在接下来的几周和几个月里,进行了测试以展示键盘记录器的功能。这是一个这样的文件,开发人员在其中测试了键盘记录器的功能,被第三方防病毒解决方案检测到。被编辑的数据包括开发者的个人电子邮件地址。
键盘记录信标, 由 AV 检测到
几个月后,键盘记录器被用于现场操作,包括针对巴基斯坦政府的运动。政府受害者数据包括个人电子邮件地址和即时通讯活动、浏览巴基斯坦海军的新工作、阅读/打印 ISPR 新闻以及其他个人敏感的在线活动。
尽管印度和其他地方的黑客雇佣组织多年来随着他们可用的技术和他们运营的生态系统的变化而显著发展,但从 2000 年代初左右开始的 Appin 活动的清晰快照为这些企业的内部运作提供了宝贵的见解。
忽略 Appin 与网络渗透测试、网站安全审计、培训等相关的许多业务产品,我们可以专注于网络防御者和威胁情报分析师最感兴趣的部分:黑客雇佣产品。以下是Appin的“特殊服务部门”向印度恰蒂斯加尔邦警察网络调查小组提出的建议。
Appin 特别服务部门报价
虽然对业务结构的全面审查超出了本报告的范围,但列出一些相关的网络安全观察结果很有用:
十多年前,向客户提供的进攻性安全服务包括跨多种形式的技术的数据盗窃,通常在内部称为“拦截”服务。其中包括键盘记录、帐户凭据网络钓鱼、网站污损和 SEO 操纵/虚假信息。他们还将按需满足客户的其他技术要求,例如从被盗文档中破解密码。
运营安全 (OPSEC) 在理论上受到重视,但在实践中没有得到充分执行。操作员、开发人员和领导层受到纪律约束,不得通过薄弱的沟通渠道讨论项目细节(目标、客户、工具等)。然而,领导层似乎一再提出不遵守这些标准的行为。这方面的例子包括分析师拒绝写下与敏感业务相关的机密技术信息,而领导层则公开讨论并记录了相同的细节。
单个操作员的角色通常是围绕他们的技能组合而建立的,而不是基于结构化角色的正式职责。这包括操作员和开发人员根据个人的兴趣和职业毅力混合任务。
从领导层到所有个体运营商和开发商,都大力推动创新理念,以更好地代表客户取得成功。这包括寻找新的工具和技术来实现客户的愿望。一些OPSEC差距源于由此产生的不受限制的创新。
虽然随着时间的推移,操作员和开发人员的角色被证明是不稳定的,但我们可以从传递给早期“开发”小组的每周任务清单中瞥见领导层的优先事项。任务被分配给个人,包括以下目标:
1) 个人 A:
使用漏洞构建功能齐全且无法检测的恶意文档。
解决恶意软件不收集特定邮件软件日志的问题。
与漏洞利用开发人员(内部)协调其他正在进行的活动。
2) 个人 B:
构建并完成新的网络横向移动解决方案。
重建“FTP备份木马”,使其完全无法检测到。
3) 个人 C:
与漏洞利用开发人员(内部)一起构建一个新流程,每周使用新的完全无法检测的攻击工具。
解决网络钓鱼网站问题,例如特定语言字符未正确录制。
对操作员进行其他内部工具的培训。
了解任务和分配给他们的个人最终并不奇怪;但是,在将活动之间的重叠技术链接和改进(例如FTP Backup木马的版本更新)置于上下文中时,它非常有用。
我们对印度黑客雇佣组织 Appin 的调查强调了这些实体在十多年的时间里对企业、政府和个人构成的持久和重大威胁。研究结果凸显了该组织非凡的坚韧不拔精神,以及代表不同客户成功执行攻击的良好记录。我们的研究提供的技术见解和基础设施为绘制相关的恶意活动和以新的视角重新评估过去的事件提供了宝贵的资源。
这些集团令人担忧的复原力,加上它们在公众监督加剧的情况下吸引新客户的能力,突出了加强国际合作和建立强有力的法律框架以有效应对这一不断升级的挑战的迫切需要。鉴于技术的进步以及对数字间谍和网络犯罪服务不断增长的需求,政府、企业和高风险个人必须主动采取措施,保护自己免受这些强大、适应性强且蓬勃发展的黑客雇佣威胁行为者的侵害。
请注意,以下一些指标已被用于合法目的或已被封堵。因此,如果将这些视为当前状态下的活跃指标,我们建议谨慎行事。
IP地址
64.186.132[.]165
65.75.243[.]251
65.75.250[.]66
69.197.147[.]146
75.127.111[.]165
75.127.78[.]100
75.127.91[.]16
84.243.201[.]254
212.72.189[.]74
域名
abdupdates[.]com
alr3ady[.]net
antivirusreviewratings[.]com
authorisedsecurehost[.]com
bksrv3r001[.]com
bluecreams[.]com
bookshopmarket[.]com
brandsons[.]net
braninfall[.]net
c00lh0sting[.]com
c0ttenc0unty[.]com
cr3ator01[.]net
crowcatcher[.]com
crvhostia[.]net
currentnewsstore[.]com
customauthentication[.]com
devinmartin[.]net
directsupp0rt[.]com
divinepower[.]info
draganheart[.]com
easyhost-ing[.]com
easyslidesharing[.]net
f00dlover[.]info
filetrusty[.]net
follow-ship[.]com
forest-fire[.]net
foxypredators[.]com
freensecurehost[.]com
freesecurehostings[.]com
freewebdomainhost[.]com
freewebuserhost[.]com
gauzpie[.]com
gmail-loginchk[.]freehostia[.]com
h3helnsupp0ort[.]com
hatemewhy[.]com
hostingserveronline[.]net
hotmasalanewssite[.]com
islam-jindabad[.]blogspot[.]com
jasminjorden[.]]com
jasminjorden[.]com
karzontheway[.]com
kungfu-panda[.]info
matrixnotloaded[.]com
msfileshare[.]net
msoftweb[.]com
myt3mple[.]com
newamazingfacts[.]com
nitr0rac3[.]com
pc-technsupport[.]com
piegauz[.]net
r3gistration[.]net
reliablensecurehost[.]net
s0pp0rtdesk[.]com
s3rv1c3s[.]net
secuina[.]net
securenhost[.]com
server003[.]com
server006[.]com
serverrr[.]com
serviceaccountloginservicemail[.]info
servicesaccount[.]com
sliderocket[.]com
speedaccelator[.]com
spidercom[.]info
t3rmin3[.]com
taraanasongs[.]com
thedailynewsheadline[.]com
tow3r[.]info
updatemypc[.]net
updatesl1nk[.]com
vall3y[.]com
wearwellgarments[.]eu
webjavaupdate[.]com
webmicrosoftupdate[.]net
文件SHA1值
02e6ddbc715dfd7ce1838c4b4b0520c8
03636f6d4f0041859f009893eac67690
055ce289ee5d2c74e3a4de967f0ff82c
0936b73c4a0acae8fe9517e26536c058
0948c7444ff919ec7218ad04c29c8189
0a8435a4abe99c22b8e1a1673098821a
0aa0116bcfcf1da87af0ec393e2b8061
0c68acbe505877eee81aaaefd6be5d57
0cd662b540c642ac9a6972226a2ee8ae
0f65c1202881f5c0e3d512aa64162716
0f6e7efe4630bf314fd5d895f55bcd08
1782314da3da2f4fdcbda269ddfa7830
17d0705bcc65eb16f6c8aee6cc0c384f
182b4f223a20d10fa39a8577a7b285f8
186f71e7db3188347f3c7e3608e40a76
1a708fb0d40f0f66e75afe26f0754f3c
1ad6ac5126fbf79d92e211e7459a04fd
1c038adb34bd12940fc91d956eda0f85
1e33463abb80297907d2de0ddad75a94
20aa596a83117d12faebda225f4dcf25
21609c45130fbba1a8c07b6fe864bbc4
21b11f60bfd420475d81726587310204
22d559800aa213a7150fa8b2e54b2b21
2546f1229ddf1a45ab944a8a0da642ca
25472d552f3439d610a0ea0feea59b18
283b06e0931d58b320fb5222bd9e2327
28f7de0a63dd9f069e9892a7b9c1393e
2cf626da0f86b4ca0ce5ff12bbdd50b4
2fdb2e334bc32856898c4c5a9b7038bf
3625f274b26050e913d21280689580aa
3fa8a69d0e9f0163382d4733e7546061
40dc57f0e7eab28eac628cd7d58670f2
46110a31e7c579285ff9c2339c8e9dbf
463922075362745a02969f0cc34adb48
482840e161a8c5fb14fe57d13c7e58b1
48d0bca6196781e4030d2427e0cebb7c
4a4392583dd001c3729f8705e62f06d0
4ac3a570f006a1b0e016257d3be5018c
4d4c8e85691295de8552aab888979026
4ebe9891f10e93cbd18266b36f1b6e6e
51c984dac039092447879d40164fc949
572fb7ba509d5b2a57142149d6fb0dd7
596d1f7a84729cfb608b29f687ce318b
5b0172d4f6b3970cc460cbe0556b6466
5dddb3f57c9066b6d3d076f590d40d0a
5deabcd480ff2df5de3a93c081b76dda
5f04cf580b375ac90caf75930fd866e7
62cddd629043f07a7f2ec3bdbc825ff9
6588efd38e17d44e3ff1ab91afd0f2b2
672bb005aeaf5805c6d06c581a8d1b10
67caeeca9dc86cbc0f494d89c43aab4e
6b683fccfb118eb96af0cb8cfcc3b2f7
6cc8f81c50b8e86feea0dd800f3e8901
6cd6aa3065d51f3c14784b2abb87b2a4
6e6eb5af7488e5c9e1ada0efd624235f
6fc6214a9cc6bb1ed442beda98fe47e6
72a0da9442e1669e832c128936774c92
74e571f9accf9fe1b4ea6ee0e02a5180
75b61ceaf2dc1acce6de9c55103f7f05
77373d579ac6479adf7140340abeb667
77e88fa11cb0cf44c4691c04742d1b13
7835c1a2a0cb7249c82c9d283526188d
79b914e089fe7b1029dd38bb08d7dcd4
7a8c0735b6e631651a6618a789b86315
7baad0dba7909e810c55f4678c301d7e
8046761d8e617dc2dbbc3bc93fc91ed3
81c33d5c2d1d71d2639283be169ad235
82262bf6215659485d31df672562060d
849fda2210df92da8d6d45f692a583b0
862f6fe18ff2f493a8b3b927d51e82b3
8658145bdc3f0cae5357d4115b05543b
87f05d07b1c60b317d3fb60335745428
87f9beffa5b6198e5906efd971475dea
8a65479b077295d8420430e9f114b6a2
8ca0082df24a060c0edcd3a4875a63ab
903b160fc4e720ea884e4222b5dc3f7e
91c21e837620a005c8d5e1cb73e9bfb8
91f2bb5f6c2f3452724f831373474865
9225fc6926516f04bf87e44b3e9201e1
92bfb44848a886b388576c60745aa605
963fbcdaec66a5fcd5664e932fa06f4d
9a9dc1bebfb0f6a713c5119f8c1b89a0
9b98e06c25c1ae3e8d0625b15a31fc75
9bf5982f68023900b678cfe08b76498e
a053b31eaa11e2eedc0182a8e0051bf3
a1d78a37d6f278e99e0a904471cd448c
a33175880547ab5296c302681290c922
a3ecdcf43f89074e4042d01987255a5f
a5d3738287ec9d74ca9bcdd5fa2d9018
a6a9abbc67cbe071d6ed639fec3e1b84
a810399062152e79c0f1d5e6b0f8c1ea
aa026aaa783f691c6da7c286af5439c7
aa8039e7b0c08c369820f450f2a12ef8
ad6cc39b31878c270bf1f4e106c1f773
ae03020fc96296a210d26e9efa0948c6
af41aaa36b787c95c0132551555dc8e1
af7ed912b633fcad5d4e9b52df9de72a
b35702471ac848a23b33b4b3aaaddf04
b3ec88a92a5881e10f6dd46a2e43f419
b5724f5b127e118babbbd4f31f93da7b
b5a53dfa9a2b5bdae9f5bd99b114cf75
b5d248e62a6c593d19104411b411146f
b6a371b2dc3143e3c5df0abc2c0604a3
b7b6dd5bcb3dcd87b74d1485b356a560
b7d18dbe6cad4b54b588ec5eed3a8141
b86fd1cfe2de2ea841f8f522dee6370c
b8baedf06d212a1769c17741a22dbabb
bba2d1e279101d9df3ee135a997457c7
bba7accf299c87080a7c12f3913b851a
bc04127266eab3c142fd9ab8bf16cae2
be4fcca6b05fcd65ca2d8e42c1f7f685
c14f235e08f6d855f5e73661fa758ff2
c4130bcfbec35b377b512ceb64221293
c43f52ec6902b9ee2be435072a9d3b2a
c44e2798f7a6a18b7a61d811bd884981
c48e5210cf6fb3286f8bc66106456686
c5a9f8a833d8eafa50d81f04fed7d42a
c7cb3ec000ac99da19d46e008fd2cb73
c8717112454bb0bee2d8afcba4c55c31
c95be0d57d7688861d685966069c18a2
cb3a7c4433e35ff3dfede853731c5004
cd6e61b12e08cab7f5a6201c6db5d6bd
cdc425240cb1e38c8432501062ff704a
ce157212cd908bc0d3b16949822dec6f
d0e966b61e15490ad958b8db3a4a624b
d2a1dc1cde78900927bd6a0ffc3a87a2
d6821dcf113e28e2c852febf5d0f2725
d8dcf2a53505a61b5915f7a1d7440a2e
daf3f0ed5e86cb7c0f6553911051c39e
ddef9714a67219b45eb0e6f66a447c11
de50630da67f860a402d5bd298f5224f
e3ed385d2ce873eabe647c1c6de144eb
e6b37e2113471b4b7acc833c99fc9c0f
e7c72900ede1a3fcebc40e72163642d3
e952bba9789b7e2983d2441ba52d9a19
ecac2ce6e52c78718c0d0f7a99829136
ed67f4e36aabf56d8fb830463cbc5487
eddd399d3a1e3a55b97665104c83143b
ef3b0ae4d6870291f6812ed77e23b558
f0dba8a8349552e5e632d395cd1be8ea
f2036ae83a79f62c749913576ba63ba6
f211694aaf443b12b2eca9f5e7f25407
f2a46ad687356eb9099bc7269411f76a
f4949579248c94ee81ed1a6a8c246126
f61db022aa5dfb59dbd53938c5a72a2c
f6f131beb246d0c7f916c5c995ad91cd
f8df4e8457d1c6f4f395701b0f9e839b
f8ecfee30bda0ad37f69f407f9a4c781
f9cdf5bebdee5486d26cd0e1a6c3d336
fad0db73af342501a0568730b4a24d79
fb72b395080807571cd784be89415612
fdfcb23f537d4265bab7f28ec9b9e036
作者简介
Tom Hegel 是 SentinelOne 的首席威胁研究员。他拥有检测和分析恶意行为者、恶意软件和全球事件的背景,并具有网络领域的应用经验。他过去的研究重点是影响全球个人和组织的威胁,主要是针对攻击者。