国庆期间,在为某医疗设备的客户测试卡巴斯基的APT监测设备KATA时,发现一条可疑的告警信息,相关信息通过卡巴斯基的威胁情报判定,图片中标红的部分,即TA-related host(威胁情报相关联主机)。
通过对该告警事件的分析,疑似针对亚洲医疗实验室的间谍组织的记录。很大可能是通过钓鱼邮件的方式进行传播,目前并没有数据泄露发生,也没有证据确定其来源或与已知威胁行为者的关系,但据安全公司分析,该组织可能对涉及covid-19相关治疗或疫苗的行业垂直领域感兴趣,目前在收集情报阶段。
该威胁活动的突出之处在于没有数据泄露和自定义恶意软件,威胁行动者使用开源工具进行情报收集。通过使用已经可用的工具,使攻击更加隐蔽。研究人员说:“该组织使用的工具表明,他们希望能够持续和秘密地访问受害者的机器,并努力升级特权,并在受害者网络中横向传播。”
外国媒体的针对该组织的报告,赛门铁克、安博士曾有过报道。
https://thehackernews.com/2023/02/hydrochasma-new-threat-actor-targets.html
技术人员已经收集了该威胁的IOC指标,有需要的关注“大兵说安全”,在后台留言索取,部署有EDR的客户,将上述IOC文件导入即可进行全网防护。参考《从一次攻击过程看EDR的作用》。
*感谢卡巴斯基山东服务中心高进提供素材
历史文章:
欢迎关注:大兵说安全
