精力充沛的熊
精力充沛的熊是一个网络间谍活动,自2011年至少自2011年以来一直活跃。该集团最初针对国防和航空公司,但2013年初重点转移了能源行业。该集团还针对与工业管制系统有关的公司。2015年出现了类似的团体,并被确定为蜻蜓2.0。蜻蜓和蜻蜓2.0之间的重叠范围内有争论,但有足够的证据可以被追踪为两个单独的群体。
这种威胁的其他名称
艾伦特,卧虎藏龙,蜻蜓,ELECTRUM, 24组,Havex,铁自由,考拉队,棕榈融合
以下是基于与此恶意演员相关的妥协指标的存在的规则集合。
可疑的DNS请求 - 高生物熊相关域观察到
描述
此检测标识一个请求,该请求解析一个公开已知与此特定恶意参与者关联的域。请注意,恶意行为者经常会使用被泄露的合法网站来达到恶意目的。
推荐
警报可能与最终用户的普通Web浏览活动相关。检查有问题的警报。如有必要,从已知的好源重建主机,并让用户更改密码。
可疑进程-执行与熊相关的二进制文件
描述
此检测将识别文件的执行情况,该文件的哈希值公开已知与此特定恶意行为者相关联。请注意,恶意参与者经常会出于恶意目的使用常见的系统管理工具。
推荐
检查有问题的警报。如有必要,从已知的好源重建主机,并让用户更改密码。
可疑的Web请求 - 高生物熊相关域观察到
描述
该检测将公开已知与此特定恶意演员相关联的域的请求。请注意,恶意演员通常会损害合法的网站以用于恶意目的。
推荐
警报可能与最终用户的普通Web浏览活动相关。检查有问题的警报。如有必要,从已知的好源重建主机,并让用户更改密码。
这个页面对你有帮助吗?