背景信息确定最近航空航天供应链网络攻击后面的新雪夫威胁组

上下文信息安全的威胁情报和事件响应团队已经确定了一系列在英国和欧洲航空航天和国防行业的一系列事件背后的新威胁组。 

通过上下文作为Avivore命名,本集团以前不是公开知名或报告的,并且上下文认为它负责最近报告的航空航天和国防供应链中的网络攻击。

背景技术一直在调查对大型跨国公司的攻击,这些公司妥协了12个月以上供应链中的较小工程服务和咨询公司。攻击者使用合法的远程连接或其他协作工作解决方案来绕过一般良好的辩护的周长并获得目标。这种技术称为‘Island Hopping’此外,还看到了对跨越多个业务单位或受害者环境中的地理位置的活动或联系的对手杠杆杠杆链。

由于其发现,背景已经与欧洲(包括英国)的受害者,安全组织和执法机构密切合作’S国家网络安全中心(NCSC),以减少影响并防止进一步妥协。除了航空航天和国防工程受害者之外,背景下还有与其他垂直的目标资产,包括汽车,咨询,能源/核空间和卫星技术。背景下,也评估了激烈的竞选目标是知识产权盗窃的目标。

“以前关于影响航空航天和国防部的最近事件的报告已将此活动与APT10和JSSD(江苏省国家安全部)联系起来。虽然活动的性质使归因挑战,但我们对竞选人员的经验表明,我们有一个我们有代号为雅沃的新组,”在上下文中,奥利弗Fay表示,主要威胁情报分析师。 

虽然在UTC + 8 TimeZone中观察到advore,但使用与APT10和其他演员共享的插件远程访问特洛伊木马,策略,技术和程序(TTP),基础设施和其他工具显着不同。这导致上下文相信这项活动归因于以前未触及的国家级对手。

Avivore已经表现出一个高度有能力的威胁演员,擅长两者‘living-off-the-land’并伪装在其内部的活动‘business as usual’员工在受害者组织中的活动。它还显示出高度的操作安全意识,包括在进行中,经常清除法医制品,使检测和调查困难。

“威胁演员的能力使得检测这些事件具有挑战性,但供应商关系的复杂性使调查,合作和修复成为一个重要问题,”詹姆斯Allman-Talbot表示,网络事件响应的负责人在上下文中。“当能够启用入侵的组织形成价值链的关键部分时,运营业务风险急剧增加,需要在短时间内进行困难的决策。”

为了减轻这些攻击,上下文建议采取以下措施: 

  • 对VPN的供应商连接施加访问限制,例如防止其在供应商之外的使用’S营业时间或除了预先商定和限制访问权限的IP地址和位置,仅限于他们所需的数据和资产以执行其行为。
  • 确保将诸如多因素身份验证和增强审计/日志的安全措施,以便为主机和服务部署到哪些供应商来连接,以防止或支持对任何可疑用户行为的调查。
  • 确保外部远程访问服务实现适当的日志保留。日志应包含有关入站连接源的足够信息,以便识别异常,例如具有不可能的地理的并发登录。
  • 确保安全地存储高度特权帐户和远程服务的凭据,并监控其使用。域控制器,敏感文件共享和公钥基础架构服务器等主机也应额外审查和监控。
  • 在可能的情况下,应仅提供与网络基础架构和远程访问服务配置相关的应用程序,文档和技术信息,仅供工程师,它支持具有合法业务需求的员工和其他个人。

评论(0)

添加评论

此线程已关闭新评论。

社论:+44(0)1892 536363
出版商:+44(0)208 440 0372
订阅每周电子通讯