【CTI】威胁情报课程相关案例:PROMETHIUM和NEODYMIUM
2023-3-31 19:26:19 Author: Desync InfoSec(查看原文) 阅读量:14 收藏


PROMETHIUM和NEODYMIUM是从2012年开始活跃的两个独立的APT组织,他们只针对个人用户进行攻击。这两个组织所使用的技巧有所不同,但在0day漏洞利用方面有很强的联系。

微软公开纰漏了这两个攻击组织,并称这两个攻击组织虽然相互独立,但其可能有相同的背景。例如:这两个攻击组织为一个政府机构工作,但是属于两个独立部门。在这种情况下,将两个组织放在一起进行追踪会受到一些影响。例如攻击组织的任务发生变化时,攻击的目标就会发生变化。

攻击特征

微软发现PROMETHIUM和NEODYMIUM使用不同的技战术和攻击工具。PROMETHIUM通过社交软件传播恶意软件Truvasys以获取目标用户的系统权限。PROMETHIUM诱导用户访问恶意URL,用户访问后会触发0day漏洞:Adoble Flash插件漏洞CVE-2016-4117。

而NEODYMIUM使用的恶意软件为Wingbird,通过向目标用户发送带有恶意RTF文件的钓鱼邮件获取目标用户的系统权限。RTF文件中包含嵌入式的SMF Flash用于触发CVE-2016-4117漏洞。

钻石模型

参考链接

https://download.microsoft.com/download/E/B/0/EB0F50CC-989C-4B66-B7F6-68CD3DC90DE3/Microsoft_Security_Intelligence_Report_Volume_21_Parallel_Zero-day_Attacks_English.pdf

https://attack.mitre.org/groups/G0056/

https://attack.mitre.org/groups/G0055/


文章来源: http://mp.weixin.qq.com/s?__biz=MzkzMDE3ODc1Mw==&mid=2247485732&idx=3&sn=33603176d7bde657b149525bab9bf75c&chksm=c27f7a8af508f39cd9495d9cf2e28de673cfcb498d85b7c6c64b09d81382eab28bd7c9189316#rd
如有侵权请联系:admin#unsafe.sh