气管网络攻击后面的新威胁小组,索赔研究人员
过去12个月内的空中客车的许多高调的网络攻击,其中一些供应链合作伙伴使用的虚拟专用网络(VPN)来访问航空航天公司的系统,很可能是以前未识别的工作威胁小组,根据上下文信息安全的研究人员。
被称为Avivore,该集团的存在在上下文中调查了对跨国企业攻击较小工程服务和在供应链中的咨询公司的跨国企业的调查中来了光明。
在这种供应链攻击中 - 也称为岛跳舞 - 对手使用合法的连接或协作工具来绕过目标的周边。这些攻击通常会使用受害者环境中的多个业务和地理位置的活动链或联系,常常看到犯罪分子。
尚未确定或跟踪的Avivore集团似乎具有与航空航天和防御之外的多种垂直垂直相关的有针对性的资产,包括汽车,能源和空间和卫星技术。
“以前关于影响航空航天和国防部的最近事件的报告已将此活动与APT10和JSSD(江苏省国家安全部)相关联。虽然活动的性质使归因挑战,但我们对广告系列的经验表明,我们在上下文中的主要威胁情报分析师Oliver Fay表示,我们的竞争经验表明我们已经代号为Avivore。
该组似乎在UTC +8时区运行,并利用插件远程访问特洛伊木马,该木材已通过APT10广泛使用。
但是,它的策略,技术和程序(TTP),基础设施和其他工具与已知的中国国家演员显着不同。这是它的领导背景,advore是以前未经触发的国家级对手的结论。
根据背景,本集团是一名“有能力的”演员,熟练在落地的土地上,并在受害者员工的日常业务活动中混淆其活动。它还似乎具有高度的操作安全意识 - 例如,它清除了法医制品,因为它的进展越来越难以进行检测。
“威胁演员的能力使得这些事件的挑战性,然而,供应商关系的复杂性质使调查,合作和修复成为一个重要的问题,”网络事件响应主管詹姆斯Allman-Talbot表示,在上下文中。
“当能够启动入侵的组织形成价值链的关键部分时,运营业务风险急剧增加,需要在短时间内进行困难的决策。”
背景信息为企业列出了一些建议,以考虑采用它们是否可能是供应链攻击的目标。
这些包括使用VPN的供应商和伙伴连接的访问限制,例如防止使用外部营业时间,同意特定位置和IP地址进行访问,并对对数据和其他资产的访问施加限制。
其他有用的步骤可以包括引入多因素认证和增强供应商连接到主机和服务的审计和日志记录。
还应采取步骤以确保远程访问服务实施适当的日志保留;为确保安全地存储远程服务的凭据及其使用的使用;尽可能使与企业网络和远程访问服务相关的应用程序,文档和技术信息,仅适用于工程师和IT支持员工。