南亚军方背景APT组织“蔓灵花”攻击事件简报

  • A+
所属分类:安全新闻
南亚军方背景APT组织“蔓灵花”攻击事件简报

南亚军方背景APT组织“蔓灵花”攻击事件简报


01

概述

2021年2月24日,知道创宇NDR产品部通过对异常流量进行监测发现IP 222.129.xx.xx存在异常流量,经分析确认该IP已经被某南亚军方背景APT组织蔓灵花(BITTER)控制。


02

详细内容

IP 222.129.xx.xx 存在对外可疑流量GET http://xxxx.xxx/xxx/xxx.xxx?a=win7X&b= win7X&c=Windows%207%20Ultimate&d=AdministratorAdministrator4dbxxx-xxxx-xxx-xxx-xxxx&e=http/1.1 


该流量被知道创宇NDR流量监测系统中的APT-BITTER规则命中,经确认该流量为APT组织蔓灵花木马感染主机后上线流量。其中参数含义如下:


a 主机名

b 计算机名 

c 操作系统名字 

d 用户名+guid  

e http版本


受害者IP信息:


受害者IP地理位置

南亚军方背景APT组织“蔓灵花”攻击事件简报

IP WHOIS
南亚军方背景APT组织“蔓灵花”攻击事件简报

IP过往信息
南亚军方背景APT组织“蔓灵花”攻击事件简报
南亚军方背景APT组织“蔓灵花”攻击事件简报

03

总结
某南亚国家对中国的网络攻击从未停息,知道创宇再次提醒各企业用户,应加强建设流量监控能力,以尽可能防御此类攻击。

目前,知道创宇NDR流量威胁监测系统及知道创宇云防御系统都已经支持对此APT攻击团伙攻击活动的精准检测。

关于知道创宇NDR

知道创宇NDR流量监测系统是知道创宇同一线作战人员一起实战打造,针对活跃APT组织的流量检测分析工具。知道创宇NDR可与创宇安全大脑、腾讯威胁情报联动,通过对流量进行智能分析,快速高效的发现敌人对我国关键基础设施的APT攻击。

👇 扫码获得知道创宇安全专家支持👇

南亚军方背景APT组织“蔓灵花”攻击事件简报


南亚军方背景APT组织“蔓灵花”攻击事件简报


👇 
点击阅读原文
了解知道创宇
南亚军方背景APT组织“蔓灵花”攻击事件简报


本文始发于微信公众号(知道创宇):南亚军方背景APT组织“蔓灵花”攻击事件简报

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: