新发现的网络间谍活动:Grayling 威胁组织
关键要点
攻击主体:Grayling,最新发现的国家支持的威胁组织受影响地区:美国、台湾、越南及太平洋某不明岛屿攻击时间:从2月到5月攻击手法:使用Havoc开源工具、NetSpy间谍软件,利用Windows漏洞CVE20190803根据网络安全公司Recorded Future旗下新闻网站The Record的报道,自2月以来,Grayling这一新发现的国家支持的威胁组织对美国、台湾、越南及未知的太平洋岛屿的众多生物医学、IT和制造实体进行了网络间谍攻击。Symantec的报告显示,Grayling的攻击涉及使用Havoc开源工具进行额外负载部署以及NetSpy间谍软件,同时通过攻击公开暴露的基础设施取得初步访问权限,并利用了编号为CVE20190803的Windows漏洞。
梯子大全vp-n“结合定制技术与公开可用工具的使用,在当前APT组的活动中十分常见,威胁行为者通常利用公开可用的或是‘生活在土地上’的工具,尝试绕过安全软件,使其活动低调且不易被防御者察觉。”研究人员表示,他们怀疑Grayling可能来自一个对台湾非常感兴趣的地区,因为此次攻击严重针对台湾企业。
攻击模式与应对措施
攻击手法描述开源工具使用Havoc进行负载部署间谍软件利用NetSpy进行信息窃取漏洞利用利用Windows CVE20190803漏洞实现初始访问目标指向重点针对公开暴露的基础设施,如网络设备和服务Grayling的攻击实践显示了APT组织的常见特征,尤其是在利用易于获取的工具以隐藏其活动。防御者需加强对库存漏洞的监测与管理,并提升对公开基础设施的防护能力,以防止类似攻势的发生。
