Jak czytamy w opublikowanych materiałach:
Obecna kampania w znacznym stopniu pokrywa się pod względem infrastruktury, technik i narzędzi z wcześniej opisywanymi działaniami, określanymi przez Microsoft jako „NOBELIUM”, a przez Mandiant jako „APT29”. Podmiot odpowiedzialny za tę kampanię powiązany jest również z innymi operacjami, takimi jak „SOLARWINDS”, oraz narzędziami takimi jak „SUNBURST”, „ENVYSCOUT” i „BOOMBOX”, które służyły do gromadzenia informacji wywiadowczych.
To, co odróżnia tę kampanię od poprzednich, to użycie oprogramowania, które wcześniej nie zostało publicznie opisane. Dodatkowo zastosowano nowe narzędzia obok lub zamiast tych, które przestały być skuteczne, co umożliwiło kontynuowanie działań operacyjnych.
W systemie Sycope NSM możesz użyć poniższego zapytania, aby wykryć artefakty powiązane ze złośliwymi URL-ami, domenami i adresami IP:
lookupKeyExists(„MalciousUrls”, {„Url”: httpUrl}) or lookupKeyExists(„MaliciousDomains”, {„Domain”: httpHost}) or lookupKeyExists(„MalciousIPs”, {„Ip”: clientIp}) or lookupKeyExists(„MalciousIPs”, {„Ip”: serverIp})
FAQ
Jest to kampania, która w znacznej mierze pokrywa się z infrastrukturą i technikami wcześniej opisanymi jako "NOBELIUM" i jest powiązana z innymi operacjami takimi jak "SOLARWINDS".
Narzędzia związane z kampanią obejmują m.in. "SUNBURST", "ENVYSCOUT" i "BOOMBOX", wszystkie używane do gromadzenia informacji wywiadowczych.
Obecna kampania różni się od wcześniejszych użyciem oprogramowania, które wcześniej nie zostało publicznie opisane, oraz nowymi narzędziami, które zastąpiły te, które przestały być skuteczne.
Można to zrobić za pomocą zapytania sprawdzającego obecność kluczy w bazach danych złośliwych URL-i, domen i adresów IP.
Nowe narzędzia zastosowano, aby kontynuować działania operacyjne mimo nieskuteczności poprzednich narzędzi.
