![黑客组织涉嫌泄露 Crowdstrike 威胁行为者名单及 2.5 亿 IOC 数据]( "黑客组织涉嫌泄露 Crowdstrike 威胁行为者名单及 2.5 亿 IOC 数据")
CrowdStrike 是一家领先的网络安全公司,以其威胁情报和事件响应服务而闻名。最近的 Falcon 问题造成了约 54 亿美元的损失。航空公司也受到严重影响,损失约 8.6 亿美元。
臭名昭著的数据泄露论坛上的一个主题中重点介绍了泄露的数据库,其中包含有关 CrowdStrike 一直在追踪的各种威胁行为者的敏感信息。
本报告中提到的威胁情报数据可供数万名客户、合作伙伴和潜在客户以及数十万名用户使用。对手利用时事来获取关注和利益。我们将继续致力于与社区共享数据。
2024 年 7 月 24 日,黑客USDoD在英语网络犯罪论坛 BreachForums 上声称泄露了 CrowdStrike 的“完整威胁行为者名单”。1该行为者还声称,他们已经获得了 CrowdStrike 的“完整 IOC [入侵指标] 列表”,并将“很快”发布。在公告中,USDoD提供了一个下载所谓威胁行为者名单的链接,并提供了一个数据字段样本,可能是为了证实他们的说法。
从威胁行为者处获取的样本数据包括一个 CSV 文件,其中包含对手别名、对手状态、每个对手的最后活动日期、对手所在地区/国家、目标行业数量、目标国家数量、行为者类型和动机等字段。在一个示例中,对手别名字段包含与 Falcon 平台相同的别名,但以不同的顺序列出。
虽然数据泄露的程度仍在评估中,但初步报告显示,该数据库包括:
-
威胁行为者的概况: 有关各种网络犯罪集团的详细信息,包括其已知的别名、策略、技术和程序 (TTP)。
-
运营洞察: 有关这些威胁行为者如何运作、他们的目标以及他们使用的工具的数据。
-
事件报告: 这些团体所犯下的过去网络事件的文件,包括时间表和影响评估。
样本数据包含的“最后活动”日期不晚于 2024 年 6 月的数据;但是,Falcon 门户中一些引用的参与者的最后活动日期最晚为 2024 年 7 月,这表明参与者可能何时获得了这些信息。
![黑客组织涉嫌泄露 Crowdstrike 威胁行为者名单及 2.5 亿 IOC 数据]( "黑客组织涉嫌泄露 Crowdstrike 威胁行为者名单及 2.5 亿 IOC 数据")
USDoD还在其帖子中声称“拥有来自石油公司和制药业(不是美国)的两个大型数据库”。目前尚不清楚该帖子是否将入侵石油公司和制药业公司的说法与他们涉嫌收购 CrowdStrike 数据联系起来。
USDoD此前曾夸大其词,可能是为了提高其在黑客活动家和网络犯罪社区中的声誉。例如,该行为者此前曾声称针对专业网络平台进行了一次黑客攻击和泄密行动,但业内消息人士驳斥了美国国防部的说法,并声称所谓的泄密是通过网络抓取而不是通过有针对性的入侵进行的。
自 2020 年以来,美国国防部一直进行黑客行动和以经济为目的的入侵活动,主要使用社会工程手段获取敏感数据。在过去两年中,该威胁行为者专注于高调的针对性入侵活动。此外,自 2024 年 1 月以来,该威胁行为者一直试图使其网络活动多样化和扩展,从单纯进行网络行动扩展到管理电子犯罪论坛。
原文始发于微信公众号(OSINT研习社):黑客组织涉嫌泄露 Crowdstrike 威胁行为者名单及 2.5 亿 IOC 数据
评论