Jak czytamy w opublikowanych materiałach:
Obecna kampania w znacznym stopniu pokrywa się pod względem infrastruktury, technik i narzędzi z wcześniej opisywanymi działaniami, określanymi przez Microsoft jako „NOBELIUM”, a przez Mandiant jako „APT29”. Podmiot odpowiedzialny za tę kampanię powiązany jest również z innymi operacjami, takimi jak „SOLARWINDS”, oraz narzędziami takimi jak „SUNBURST”, „ENVYSCOUT” i „BOOMBOX”, które służyły do gromadzenia informacji wywiadowczych.
To, co odróżnia tę kampanię od poprzednich, to użycie oprogramowania, które wcześniej nie zostało publicznie opisane. Dodatkowo zastosowano nowe narzędzia obok lub zamiast tych, które przestały być skuteczne, co umożliwiło kontynuowanie działań operacyjnych.
W systemie Sycope NSM możesz użyć poniższego zapytania, aby wykryć artefakty powiązane ze złośliwymi URL-ami, domenami i adresami IP:
lookupKeyExists(„MalciousUrls”, {„Url”: httpUrl}) or lookupKeyExists(„MaliciousDomains”, {„Domain”: httpHost}) or lookupKeyExists(„MalciousIPs”, {„Ip”: clientIp}) or lookupKeyExists(„MalciousIPs”, {„Ip”: serverIp})
