Mandiant 发布了一份关于 UNC1860 的报告,这是一个持续活跃且善于利用机会的伊朗国家支持的威胁行为者,可能与伊朗情报和安全部 (MOIS) 有关联。该报告重点介绍了 UNC1860 使用的专用工具和被动后门,表明其可能扮演着初始访问提供者的角色,并且能够获得对高优先级网络的持久访问权限,例如整个中东地区的政府和电信网络。
我发现特别有趣的是 Mandiant 对 UNC1860 作为可能的初始访问提供者的角色及其获得对高优先级网络(例如整个中东地区的政府和电信网络)的持久访问权限的能力的关注。
这些信息凸显了像 UNC1860 这样的国家支持的攻击者对中东地区组织构成的日益严重的威胁。他们能够入侵敏感网络并长时间保持访问权限,这使得他们成为一个强大的对手。
同样有趣的是,UNC1860 与其他伊朗支持的攻击者(例如 Shrouded Snooper、Scarred Manticore 和 Storm-0861)之间存在重叠。这表明这些团体之间可能存在协调和合作,从而使检测和响应工作变得复杂。
Mandiant 的报告详细分析了 UNC1860 的工具和技术,包括 GUI 操作的恶意软件控制器、被动后门和被利用的漏洞。这些信息对于希望保护其系统免受 UNC1860 攻击的网络防御者来说非常宝贵。
总之,Mandiant 的报告强调了 UNC1860 对中东地区组织构成的真实而持久的威胁。了解他们的能力和策略对于降低网络攻击风险至关重要。
