上下文确定了最近航空航天供应链网络攻击背后的新AVIVORE威胁组

Context Information Security的威胁情报和事件响应小组已经确定了一个新的威胁组,该事件组针对英国和欧洲的航空航天和国防工业发生了一系列事件。 

被Context命名为AVIVORE,该组织以前未公开或未报道过,Context认为它负责最近报道的航空航天和国防供应链中的网络攻击。

Context一直在调查针对大型跨国公司的攻击,这些攻击损害了供应链中较小的工程服务和咨询公司,已超过12个月。攻击者使用合法的远程连接或其他协作工作解决方案绕过通常防御良好的边界并获得对目标的访问权限。这种技术称为‘Island Hopping’,还看到了攻击者在受害环境中跨多个业务部门或地理位置的活动或联系的杠杆链。

作为发现的结果,Context已与包括英国在内的欧洲各地的受害者,安全组织和执法机构紧密合作’的国家网络安全中心(NCSC),以减少影响并防止进一步的妥协。除了航空航天和国防工程的受害者,Context还看到了AVIVORE的目标资产与其他垂直行业相关,包括汽车,咨询,能源/核能以及太空和卫星技术。 Context还以中等信心评估了该运动的目标是盗窃知识产权。

“先前对最近影响航空航天和国防的事件的报道已经将该活动与APT10和JSSD(江苏省国家安全部)联系在一起。尽管活动的性质使归因具有挑战性,但我们在竞选活动中的经验表明,我们有一个新小组,代号为AVIVORE”Context的首席威胁情报分析师奥利弗·费伊(Oliver Fay)说。 

尽管人们已经观察到AVIVORE在UTC + 8时区运行,并且利用了与APT10和其他参与者共享的PlugX远程访问木马,但战术,技术和程序(TTP),基础架构和其他工具却大不相同。这使Context相信此活动归因于先前未追踪的民族国家级别的对手。

AVIVORE已证明自己是一个有能力的威胁参与者,擅长于‘living-off-the-land’并伪装其在‘business as usual’员工在受害组织中的活动。它还显示出高度的操作安全意识,包括在进行过程中定期清除法医伪像,从而使检测和调查变得困难。

“威胁执行者的能力使检测这些事件具有挑战性,但是供应商关系的复杂性使调查,合作和补救成为一个重要问题,”Context的网络事件响应主管James Allman-Talbot说。“当启用入侵的组织构成了价值链的关键部分时,运营业务风险将急剧增加,并且需要在短时间内做出困难的决策。”

为了缓解这些攻击,Context建议采取以下措施: 

  • 对通过VPN的供应商连接施加访问限制,例如防止在供应商外部使用它们’的工作时间或IP地址和IP地址和位置(事先商定的地址除外),并仅限制对其执行操作所需的数据和资产的访问。
  • 确保将安全措施(例如多因素身份验证和增强的审核/日志记录)部署到要求供应商连接的主机和服务,以防止或支持对任何可疑用户行为的调查。
  • 确保外部远程访问服务实现适当的日志保留。日志中应包含有关入站连接源的足够信息,以便能够识别异常,例如,地理上不可能的并发登录。
  • 确保安全存储高特权帐户和远程服务的凭据,并对其使用情况进行适当监控。诸如域控制器,敏感文件共享和公钥基础结构服务器之类的主机也应接受其他检查和监视。
  • 在可能的情况下,与网络基础结构和远程访问服务的配置有关的应用程序,文档和技术信息应仅提供给工程师,IT支持人员和其他有正当业务需求的人员。

评论(0)

添加评论

此主题已停止发表新评论。

社论:+44(0)1892 536363
发行人:+44(0)208 440 0372
免费订阅每周电子通讯