Yassine-threatintel/threat-intelligence-reports

# 威胁情报报告 威胁情报报告与 MITRE ATT&CK 分析。 # UNC6508 威胁情报分析 ## 执行摘要 本报告分析了针对医疗、学术和军事研究组织的 UNC6508 网络间谍活动。 # 威胁情报分析：UNC6508 针对医疗与研究组织的攻击活动 ## 1. 了解事件全貌 ### 谁 UNC6508 是一个与中国 (PRC) 相关的威胁行为者，从事网络间谍行动。 ### 什么 该威胁行为者针对了多种国家级、州级和私营医疗机构，包括医疗保健提供者、学术医学中心、军事卫生机构、专业倡导团体以及卫生监管机构。 ### 何时 2023 年 9 月。 ### 何地 该活动主要影响了北美医疗、学术和军事研究领域的组织。 ### 为什么 该行动的动机似乎是出于间谍目的，重点收集与医学研究、人工智能、网络安全和国防相关的敏感信息。 ### 如何 UNC6508 利用存在漏洞的面向互联网的 REDCap 服务器来获取受害者环境的初始访问权限。入侵后，该威胁行为者部署了一个名为 **INFINITERED** 的自定义恶意软件框架，用于收集凭证并促进对内部网络的访问。该行为者还滥用 Microsoft Exchange 内容合规规则来隐蔽地窃取数据，并采用复杂的操作安全 (OpSec) 技术来掩盖恶意活动并逃避检测。 # 2. 网络杀伤链分析 | 杀伤链阶段 | 活动 | | ------------------------ | --------------------------------------------------------------------------------------------------------------------------------------------------------------- | | 侦察 | UNC6508 识别了运行存在漏洞的软件版本的、面向互联网的 REDCap 服务器。 | | 武器化 | 威胁行为者准备并定制了 INFINITERED 恶意软件框架，用于凭证窃取、持久化和命令与控制操作。 | | 投递 | 成功利用后，恶意组件被部署到受感染的 REDCap 服务器上。 | | 利用 | UNC6508 利用公开访问的 REDCap 应用程序中的漏洞获取未经授权的访问权限。 | | 安装 | INFINITERED 通过修改 REDCap 组件并在未来的软件升级期间重新植入恶意代码来建立持久性。 | | 命令与控制 (C2) | 恶意软件通过 HTTP 请求与攻击者控制的基础设施进行通信，使用 REDCAP-TOKEN cookie 参数来交换命令和数据。 | | 目标行动 | UNC6508 收集凭证，搜索有价值的信息，并通过电子邮件转发机制和其他隐蔽渠道窃取敏感数据。 | # 3. 钻石模型分析 ## 对手 **UNC6508**，一个与中国 (PRC) 相关的威胁行为者，针对医疗、研究和政府附属组织开展网络间谍行动。 ## 能力 该威胁行为者展示了高级能力，包括

标签：APT分析, CISA项目, Cloudflare, HTTP工具, MITRE ATT&CK, StruQ, 威胁情报, 安全研究报告, 开发者工具, 红队分析, 防御加固