一、
新的TeleBots后门:第一个可以证明Industroyer与NotPetya存在联系
BlackEnergy恶意软件工具包,于2015年12月发生的历史上首次发生恶意软件的大停电事件,此后,该专门攻击乌克兰的APT小组便停止使用该软件,转而
使用TeleBots,本次TeleBots的新后门是主要的Industroyer后门的改进版本。
Industroyer也是由BlackEnergy / Telebots集团(有时也被称为Sandworm)设计的。
同时也是大量NotPetya勒索软件爆发背后的组织。
https://www.welivesecurity.com/2018/10/11/new-telebots-backdoor-linking-industroyer-notpetya/
TeleBots 以往报告
https://www.welivesecurity.com/2016/12/13/rise-telebots-analyzing-disruptive-killdisk-attacks/
攻击者会使用ESET主题域名。
二、
Gallmaker,针对欧洲进行攻击的APT
https://www.symantec.com/blogs/threat-intelligence/gallmaker-attack-group
cobaltstrike beacon
三、