攻击者行为分析

攻击者行为检测规则分析来自事件源的端点和日志事件流,并查找可能指示攻击者行为的事件。Rapid7威胁情报团队经常更新我们的检测规则,以适应恶意行为者不断变化的战术。

按威胁浏览我们现有的攻击者行为检测,并查看最新发布的检测和可操作的建议。

描述 替代名称
APT组 高级持续性威胁(APT)团体是由民族国家或国家赞助团体运营的威胁参与者。我们现成的检测规则检测以下APT组:APT1、APT10、APT12、APT15、APT16、APT17、APT18、APT19、APT20、APT27、APT3、APT31、APT32、APT33、APT36、APT37、APT39、APT40、APT41、APT5。
黑绿洲 黑绿洲是一个总部位于中东的威胁组织。这个威胁组织的目标是联合国的知名人士、反对派博客、活动家、地区新闻记者和智囊团。
布莱克特 布莱克特是一个网络间谍组织,其目标是东亚、普拉马利利、日本和香港的受害者。 回路熊猫、华皮、船外温度
盲目的鹰 盲鹰是一个可疑的南美间谍组织,至少自2018年以来一直活跃。该组织主要针对哥伦比亚政府机构和公司。 APT-C-36
青铜管家 青铜巴特勒是一个网络间谍组织,似乎是以中国为基地的,至少从2008年起就一直活跃。该组织主要针对日本组织。 红秃头的夜晚,滴答声
卡巴纳克 Carbanak是一个主要针对银行的威胁组织,同时也涉及同名恶意软件。 Anunak、碳蜘蛛
钴基 Cobalt Group是一个以财务为动机的威胁集团,主要针对金融机构。这一威胁集团以ATM、卡处理、支付和SWIFT系统为目标,实施了偷钱入侵。 钴,钴帮,钴蜘蛛,金王爷
黑焦耳 黑暗卡拉卡尔是黎巴嫩总安全总局(GDGS)的一个威胁组织,至少从2012年开始运作。
达克霍特尔酒店 Darkhotel是一个威胁组织,它对酒店和商务中心的WiFi和物理连接,以及点对点和文件共享网络进行了活动。 APT-C-06,杜布纽姆,辐射小组,卡巴,卢德,内米,内米,内米,先锋,影子鹤,SIG25,塔帕奥
黑海德拉斯 DarkHydrus是一个威胁组织,自2016年以来,该组织一直以中东的政府机构和教育机构为目标。 LazyMeerkat
深熊猫 Deep Panda是一个可疑的中国威胁集团,其目标包括政府、国防、金融和电信等多个行业。 APT26,黑藤,第13组,球衣,功夫小猫,针花,贝壳队,涡轮熊猫,网站管理员
龙族 DragonOK是一个威胁组织,它用网络钓鱼邮件攻击日本组织。 莫阿菲
沙尘暴 沙尘暴是一个威胁组织,针对日本、韩国、美国、欧洲和一些东南亚国家的多个行业。 大熊猫
接骨木 该组织的目标是国防组织、供应链制造商、人权和非政府组织(ngo)以及IT服务提供商。 北京集团、接骨木帮、鬼鬼祟祟的熊猫
精力充沛的熊 该集团最初的目标是国防和航空公司,但在2013年初将重点转向了能源行业。该组织还针对与工业控制系统相关的公司。 阿拉尼特,蹲着的雪人,蜻蜓,伊莱克勒姆,24组,哈维克斯,铁自由,考拉队,棕榈融合
鳍群 金融威胁集团(FIN)由以金融机构为目标的参与者组成。以下规则基于公共可用信息检测FIN组的存在:FIN4、FIN5、FIN6、FIN7、FIN8、FIN10。
胆小鬼 GalMever是一个网络间谍组织,针对中东的受害者,主要是针对国防、军事和政府行业的受害者。
伽玛雷登集团 Gamaredon集团是一个威胁集团,至少自2013年以来一直活跃,目标是可能参与乌克兰政府的个人。
GCMAN GCMAN是一个威胁集团,它专注于将资金转移到电子货币服务的目标银行。
Gorgon集团 Gorgon集团是一个威胁集团,其成员被怀疑是巴基斯坦人,或与巴基斯坦有其他联系。这个威胁组织实施了犯罪和有针对性的袭击,包括针对英国、西班牙、俄罗斯和美国政府组织的运动。
第5组 第五集团是一个涉嫌与伊朗有联系的威胁集团。这个威胁组织的目标是通过鱼叉钓鱼和水坑攻击与叙利亚反对派有联系的个人。
第72组 72集团是一个涉嫌与中国政府有关的网络间谍集团。
蜜蜂 “蜜蜂”是一个由一个不知名的恶意行动者领导的运动,该行动者以人道主义援助组织为目标,在越南、新加坡、阿根廷、日本、印度尼西亚和加拿大都很活跃。
钥匙 KEYBOY是一个没有关联的威胁团体,它在台湾、菲律宾和香港领导了针对受害者的活动。这一威胁集团主要针对政府、医疗、交通和高科技行业。 APT23,热带士兵行动,海盗熊猫,热带士兵
拉撒路集团 拉扎鲁斯集团是一个被认为是朝鲜政府的威胁集团。 安达瑞尔、阿普尔沃姆、APT-C-26、APT38、蓝诺洛夫、121局、科维利特、黑暗汉城、共和党、77组、和平卫士、和平卫士、哈斯塔蒂集团、隐藏眼镜蛇、迷宫奇利马、拉扎勒斯、新罗马网络军团队、镍业学院、阿普尔杰斯行动、暗黑行动、幽灵秘密行动、特洛伊行动、沉默的奇利马、,星尘奇利玛,小组:安达瑞尔,小组:布鲁诺洛夫,121单元,谁是黑客小组,谁是小组,锌
挖叶机 LuMuxER是一个针对中东政府组织和商业实体的伊朗威胁集团。 拉斯皮特
莲花 莲花是一个威胁组织,目标是东南亚的政府和军事组织。 龙鱼,Elise, Esile,春龙,ST集团
弯刀 弯刀是一个至少自2010年以来一直活跃的威胁组织,其目标是拉丁美洲国家的知名政府实体。 弯刀
莫芳 莫芳很可能是一家总部位于中国的网络间谍集团,因其经常模仿受害者的基础设施而得名。 超人
鼹鼠 Molerats是一个具有政治动机的威胁组织,自2012年以来一直活跃。该组织主要针对中东、欧洲和美国的受害者。 极端豺狼,加沙网络帮派,加沙黑客团队,月光,鼹鼠行动
MuddyWater MuddyWater是一个以伊朗为基地的威胁组织,主要针对中东国家,但也针对欧洲和北美国家。该组织主要针对电信、政府IT服务和石油行业的受害者。 Seedworm, Static Kitten, TEMP.Zagros
Naikon Naikon是一个以南中国海周边受害者为重点的威胁组织。这一威胁集团归中国人民解放军成都军区第二技术侦察局(部队掩护代号78020)所有。 APT30, APT.Naikon, Camerashy, Hellsing, Lotus Panda, Override Panda,解放军78020部队
钕是一个活动团体,于2016年5月开展了一项活动,主要针对土耳其受害者。
夜龙 “夜龙”是一个活动名称,涉及一个主要以中国为基地的威胁组织。
朝鲜国家赞助演员 朝鲜国家赞助的演员是一个威胁团体,专门针对安全研究人员进行妥协。必威体育西汉姆联官网
橘子虫 Orangeworm是一个威胁组织,至少自2015年以来,该组织一直以美国、欧洲和亚洲的医疗行业组织为目标,涉嫌从事企业间谍活动。
拼凑 Patchwork是一个网络间谍组织,至少自2015年12月以来一直活跃。虽然这一群体尚未确定归属于印度,但间接证据表明,这一群体可能是亲印度或以印度为基础的实体。拼凑的目标是与外交和政府机构相关的行业。 APT-C-09,中国战略,大象坠落,宿醉群,季风,宿醉行动,绗缝虎,纱丽
PLATINUM是一个以南亚和东南亚各国政府和相关组织的受害者为目标的活动团体。 二对一
波塞冬集团 波塞冬集团是一个威胁集团,它利用从受害者身上泄露出来的信息来敲诈公司,并将波塞冬集团作为一家安全公司与之签约。
Promethium是一个活动团体,于2016年5月开展了一项活动,主要针对土耳其受害者。 强烈的怜悯
怨恨 “积怨”是一个威胁组织,领导了针对东南亚的有针对性的行动。 积怨集团
摇滚乐 Rocke是一个据称讲中文的威胁组织,主要利用加密劫持窃取受害者系统资源来挖掘加密货币。
RTM RTM是一个网络犯罪集团,至少从2015年开始活跃,主要针对俄罗斯和邻国远程银行系统的受害者。
浮躁 SCADAfence平台扩展了IT和OT网络的可视性。这是一组用于的检测规则InsightIDR SCADAFence集成
沙虫队 沙虫小组是一个以俄罗斯为基地的破坏性威胁组织,隶属于美国司法部和英国国家网络安全中心的俄罗斯GRU Unit 74455。 黑色能源,黑色能源(集团),银金矿,维京铁,奎达,沙虫,遥控机器人,温度贵族,伏都教熊
猩红仿制品 “猩红模仿”是一个威胁组织,其目标是少数民族权利活动家。该组织并未与政府消息来源直接联系,但该组织的动机似乎与中国政府的动机重叠。
银梗 SilverTerrier是一个尼日利亚威胁组织,自2014年以来一直活跃。SilverTerrier主要针对高科技、高等教育和制造业的组织。
软电池 软细胞是一个据称隶属于中国并由中国赞助的组织。这一组织至少从2012年起就一直活跃,并破坏了备受瞩目的电信网络。
鼠妇 Sowbug是一个威胁组织,至少自2015年以来,它对南美和东南亚的组织,特别是政府实体进行了有针对性的攻击。
隐形猎鹰 隐形猎鹰是一个威胁组织,至少自2012年以来一直对阿联酋记者、活动家和持不同政见者进行有针对性的间谍软件攻击。 水果园
偷来的铅笔 被盗铅笔是一个疑似以朝鲜为基地的威胁组织,该组织至少从2018年5月开始活跃。这个威胁组织的目标似乎是学术机构,但其动机尚不清楚。
漫游者 Strider是一个至少自2011年以来一直活跃的威胁组织,其目标是俄罗斯、中国、瑞典、比利时、伊朗和卢旺达的受害者。 索伦项目
乳蝇 Suckfly是一家总部位于中国的威胁集团,自2014年以来一直活跃。 公理
TA459 TA459是一个可疑的以中国为基地的威胁组织,其目标是包括俄罗斯、白俄罗斯和蒙古在内的几个国家。
泰门 泰门是一个至少从2009年就开始活跃的威胁组织,主要针对台湾政府。
怀特公司 怀特公司被怀疑是国家资助的具有先进能力的威胁行动方。从2017年到2018年,该集团领导了针对巴基斯坦政府和军事组织的沙欣间谍行动。
威胁集团- 1314 威胁组-1314是一个威胁组,它使用被破解的凭据登录到受害者远程访问基础设施。 TG-1314
蓟马 Thrip是一个间谍集团,目标是美国和东南亚的卫星通信、电信和国防承包商公司。 Lotus熊猫
图拉 Turla是一个总部位于俄罗斯的威胁组织,自2004年以来已在45个国家感染了受害者,涉及多个行业,包括政府、大使馆、军事、教育、研究和制药。必威体育西汉姆联官网 氪,蛇,图拉群,毒熊,水獭,白熊
丝绒胆碱 天鹅绒千里马是一个总部位于朝鲜的威胁组织,至少从2013年9月以来一直活跃。该组织以试图阻止北韩核技术发展的韩国智库和团体为目标。 Kimsuki,Kimsuky
粉虱 Whitefly是一个网络间谍组织,至少自2017年以来一直活跃。该组织主要针对新加坡多个行业的组织,重点窃取大量敏感信息。
Windows可疑的过程 这些检测可识别恶意参与者用于在主机环境中执行各种任务的攻击者技术。
风移 WindShift是一个至少自2017年以来一直活跃的威胁组织,其目标是在整个中东地区的政府部门和关键基础设施中进行监视的特定个人。 巴哈穆特
维特 WIRTE是一个至少自2018年8月以来一直活跃的威胁集团。该组织将重点放在中东防务和外交官身上。
巫师蜘蛛 WIZARD SPIDER是一个受资金驱动的组织,至少从2018年8月开始就一直在进行勒索软件活动,主要针对大型组织。 临时混音师,冷酷蜘蛛