System Owner/User Discovery
システムオーナー/ユーザの探索

Windows

攻撃者は、初期ユーザー、現在ログインしているユーザー、システムをよく使用するユーザーのセット、またはユーザーがシステムをアクティブに使用しているかどうかを識別しようとする場合があります。たとえば、アカウントのユーザー名を取得したり、Credential Dumpingを使用したりすることで、これを実行することがあります。ユーザーおよびユーザー名の詳細は、実行中のプロセスの所有権、ファイル/ディレクトリの所有権、セッション情報、およびシステムログを通して、システム全体で広く行き渡っているため、情報は他の探索テクニックを使用してさまざまな方法で収集されます。攻撃者がターゲットが完全に感染しているか、特定のアクションを試みるかなど、後続の動作を形成するために、攻撃者は、自動検出中にSystem Owner / User Discoveryからの情報を使用することもあります。

Mac

Macでは、現在のログインユーザはusers,w, および whoで特定できます。

Linux

Linuxでは、現在のログインユーザは、 w および whoで特定できます。

ID: T1033
Tactic: Discovery
Platform: Linux, macOS, Windows
Permissions Required: User, Administrator
Data Sources: File monitoring, Process monitoring, Process command-line parameters
CAPEC ID: CAPEC-577
Version: 1.1
Created: 31 May 2017
Last Modified: 12 August 2019

Procedure Examples

Name Description
Agent Tesla

Agent Tesla は、被害者のマシンからユーザー名を収集します。[29][30]

Agent.btz

Agent.btzは、被害者のユーザー名を取得し、ファイルに保存します。[42]

APT19

APT19 は、HTTPマルウェアバリアントとPort22マルウェアバリアントを使用して、被害者のユーザー名を収集しました。[78]

APT3

APT3 ダウンローダーは、権限を昇格して実行していることを確認するためにWindowsコマンド "cmd.exe" /C whoami を使用します。[86]

APT32

APT32 は、被害者のユーザ名を集め、 whoami コマンドを被害端末で実行しました。[72][73]

APT37

APT37は、被害端末のユーザ名を識別します。 [74]

APT39

APT39 は、システムからユーザ名を集めルために Remexiを使いました。 [91]

APT41

APT41 は、リモートマシンで whoami コマンドを実行するためにWMIEXECユーティリティを使用しました。[94]

Azorult

Azorult は、被害者のマシンからユーザー名を収集できます。[37]

BabyShark

BabyShark は、 whoami コマンドを実行しました。[71]

Backdoor.Oldrea

Backdoor.Oldrea は、被害者から現在のユーザー名を収集します。[18]

BISCUIT

BISCUIT には、システムからユーザー名を収集するコマンドがあります。[21]

Cannon

Cannon はシステムからユーザー名を収集できます。[36]

Cardinal RAT

Cardinal RAT は、被害者のマシンからユーザー名を収集できます。[40]

DarkComet

DarkComet は、被害者のマシンからユーザー名を収集します。[9]

Denis

Denis は、被害者のマシンからユーザー名を収集します。[38]

Derusbi

A Linux version of Derusbi のLinuxバージョンは、被害者のユーザーIDがゼロ(通常はルートに使用される)以外であるかどうかをチェックし、ルート権限がない場合、マルウェアは実行されません。Derusbi は、被害者のユーザー名も収集します。[6]

DownPaper

DownPaper は、被害者のユーザー名を収集し、C2サーバーに送信します。[25]

Dragonfly 2.0

Dragonfly 2.0 は、被害端末で query user コマンドを使いました。[90]

Epic

Epic は、被害者のマシンからユーザー名を収集します。[43]

Felismus

Felismus は、現在のユーザー名を収集し、C2サーバーに送信します。[32]

FELIXROOT

FELIXROOT は、被害者のマシンからユーザー名を収集します。[26][27]

FIN10

FIN10 は、リモートシステム上のユーザーを列挙するためにMeterpreterを使います。[77]

FlawedAmmyy

FlawedAmmyy は、最初の感染時に現在のユーザーを列挙します。[65]

Gamaredon Group

Gamaredon Group ファイルスティーラーは、被害者のユーザー名を収集してC2サーバーに送信できます。[87]

Gazer

Gazer は、現在のユーザーのセキュリティ識別子を取得します。[10]

Gold Dragon

Gold Dragon はエンドポイントの被害者のユーザー名を収集し、C2サーバーから追加のコンポーネントをダウンロードするための基盤として使用します。[5]

GravityRAT

GravityRAT は、被害端末のユーザー名と他のアカウント情報(アカウントタイプ、説明、氏名、SID、およびステータス)を収集します。[20]

HAPPYWORK

HAPPYWORKは、被害端末のユーザ名を収集できます。[4]

HAWKBALL

HAWKBALL は、システムのユーザー名を収集できます。[69]

InvisiMole

InvisiMole は、ローカルユーザーとセッション情報をリストします。[45]

Ixeshe

Ixeshe は、被害者のマシンからユーザー名を収集します。[68]

JPIN

JPIN は、被害者のユーザー名を取得できます。[41]

Kazuar

Kazuar は、ユーザーに関する情報を収集します。[7]

Koadic

Koadic は、ドメイン全体でログインしているユーザーを識別し、ユーザーセッションを表示できます。[2]

Komplex

Komplex のOsInfo関数は、現在実行中のユーザー名を収集します。[59]

KONNI

KONNI は、被害者のマシンからユーザー名を収集できます。[12]

Kwampirs

Kwampirs は、コマンドsysteminfonet config workstationを使用して登録されたオーナーの詳細を収集します[33]

Lazarus Group

様々なLazarus Group のマルウェアがログオンユーザーを列挙します。[79][80][81][82][83]

Linux Rabbit

Linux Rabbit は、ポート22でソケットを開き、応答を受信すると、マシンのホスト名とトップレベルドメインを取得しようとします。[62]

Magic Hound

Magic Hound マルウェアは、被害者のユーザー名を取得し、C2サーバーに送信しました。[84]

Micropsia

Micropsia は、被害者のマシンからユーザー名を収集できます。[14]

MirageFox

MirageFoxは、被害者のマシンからユーザー名を収集できます。[47]

Mis-Type

Mis-Type 感染ユーザーの権限レベルを判断するために、テストを実行します。[11]

MoonWind

MoonWindは、被害端末のユーザー名を収集します。[50]

More_eggs

More_eggs は、被害者のマシンからユーザー名を収集する機能があります。[53][54]

Mosquito

Mosquito は、 whoami を被害マシン上で実行します。[24]

MuddyWater

MuddyWater は、被害端末のユーザー名を収集できるマルウェアを使用しています。[76]

NanHaiShu

NanHaiShu は、被害端末からユーザー名を収集します。[19]

NDiskMonitor

NDiskMonitor は被害端末のユーザー名を取得し、その情報を暗号化してC2チャンネルで送信します。[28]

njRAT

njRAT は、最初の感染時に現在のユーザーを列挙します。[67]

NOKKI

NOKKI は、被害者のマシンからユーザー名を収集できます[44]

Octopus

Octopus は、被害者のマシンからユーザー名を収集できます[60]

OilRig

OilRig は、 whoami コマンドを被害者端末で実行します 。[88][89]

Patchwork

Patchworkは、被害端末のユーザー名と管理者として実行されているかどうかを収集し、情報をC2サーバーに送信しました。[85][28]

PowerDuke

PowerDuke には、現在のユーザーの名前とSIDを取得するコマンドがあります。[39]

POWRUNER

POWRUNER は、被害端末に対して whoami コマンドコマンドを実行することにより、現在ログインしているユーザの情報を収集する可能性があります。[23]

Prikormka

Prikormkaのモジュールは、被害端末から現在のユーザーに関する情報を収集します。[51]

Pupy

Pupy は、Linuxホストのローカル情報を列挙でき、Windowsホストの現在ログオンしているユーザーを見つけることができます。[1]

QUADAGENT

QUADAGENT は、被害端末のユーザ名を収集します。[57]

RATANKBA

RATANKBA は、whoami コマンドと query user コマンドを実行します。[16]

Reaver

Reaver は、被害端末のユーザー名を収集します。[17]

RedLeaves

RedLeaves は、ローカルおよびリモートデスクトップセッションの両方で、ログオンしているユーザーに関する情報を取得できます。[3]

Remsec

Remsec は、現在のユーザーに関する情報を取得できます。[31]

Revenge RAT

Revenge RAT は、は、システムからユーザー名を収集します。[64]

RGDoor

RGDoor は、被害者のマシンでwhoami コマンドを実行します。[48]

RogueRobin

RogueRobinは、被害端末のユーザ名と管理者であるかどうかを収集します。[55]

RTM

RTM は、被害端末のユーザー名と権限を収集することができます。[46]

ServHelper

ServHelper は、被害端末のユーザー名を列挙しようとします。[66]

Soft Cell

Soft Cell は、被害端末のユーザ情報を得るために whoami と、 query user を使用しました。[93]

SpeakUp

SpeakUp は、 whoami コマンドを使用します。[63]

SslMM

SslMM は、ハードコードされたC2サーバにログオンユーザ名を送信します。[35]

Stealth Falcon

Stealth Falconのマルウェアは、WMIを介して登録ユーザーとプライマリオーナー名を収集します。[75]

SynAck

SynAck は、感染したホストからユーザー名を収集します。[52]

Sys10

Sys10 は、ログインしているユーザーのアカウント名を収集し、C2に送信します。[35]

T9000

T9000は、インストール中に、ログインしたアカウントのユーザー名を収集してビーコンを送信します。また、実行中のプロセスのユーザー名を収集して、SYSTEアカウントで実行されているかどうかを判断します。[13]

Tropic Trooper

Tropic Trooperは、ターゲットシステムに保存されたユーザー名をスキャンするために、 letmein を使用しました。[92]

Unknown Logger

Unknown Logger は、被害端末のユーザー名に関する情報を取得できます。[8]

UPPERCUT

UPPERCUT は、現在ログオンしているユーザーのユーザー名をマシンから収集する機能があります。[22]

VERMIN

VERMIN は、被害者のマシンからユーザー名を収集します。[58]

WINDSHIELD

WINDSHIELDは、システムのユーザー名を収集できます。[56]

WINERACK

WINERACK は、被害端末のユーザ名に関する情報を収集できます。[4]

WinMM

WinMMは、 ローカルシステムのAdminアカウントで実行されていることを確認するために NetUser-GetInfo を利用します。[35]

XAgentOSX

XAgentOSX には、OS Xバージョンと現在のユーザーを返すgetInfoOSX関数が含まれています。[49]

yty

yty は、被害端末のユーザー名を収集します。[15]

Zebrocy

Zebrocy は、システムからユーザー名を収集します。[61]

zwShell

zwShell は、被害端末のログインユーザー名を収集することができます。[34]

ZxShell

ZxShell は、ターゲットのワークステーションからオーナーと組織の情報を集めることができます。 [70]

Mitigations

このタイプの攻撃手法は、システム機能の悪用に基づいているため、予防制御では簡単に軽減できません。

Detection

通常、システムおよびネットワークの探索テクニックは、攻撃者が環境を調査する際に発生します。データとイベントは単独で現れるのではなく、取得した情報に基づいて、他のアクティビティにつながる可能性のある一連の動作の一部とみなします。

システムおよびネットワーク情報を収集するために実行できるアクションのプロセスとコマンドライン引数を監視します。組み込み機能を備えたリモートアクセスツールは、Windows APIと直接対話して情報を収集する場合があります。情報は Windows Management InstrumentationPowerShellなどのWindowsシステム管理ツールを通じても取得されることもあります。

References

  1. Nicolas Verdier. (n.d.). Retrieved January 29, 2018.
  2. Magius, J., et al. (2017, July 19). Koadic. Retrieved June 18, 2018.
  3. PwC and BAE Systems. (2017, April). Operation Cloud Hopper: Technical Annex. Retrieved April 13, 2017.
  4. FireEye. (2018, February 20). APT37 (Reaper): The Overlooked North Korean Actor. Retrieved March 1, 2018.
  5. Sherstobitoff, R., Saavedra-Morales, J. (2018, February 02). Gold Dragon Widens Olympics Malware Attacks, Gains Permanent Presence on Victims’ Systems. Retrieved June 6, 2018.
  6. Fidelis Cybersecurity. (2016, February 29). The Turbo Campaign, Featuring Derusbi for 64-bit Linux. Retrieved March 2, 2016.
  7. Levene, B, et al. (2017, May 03). Kazuar: Multiplatform Espionage Backdoor with API Access. Retrieved July 17, 2018.
  8. Settle, A., et al. (2016, August 8). MONSOON - Analysis Of An APT Campaign. Retrieved September 22, 2016.
  9. TrendMicro. (2014, September 03). DARKCOMET. Retrieved November 6, 2018.
  10. Kaspersky Lab's Global Research & Analysis Team. (2017, August 30). Introducing WhiteBear. Retrieved September 21, 2017.
  11. Gross, J. (2016, February 23). Operation Dust Storm. Retrieved September 19, 2017.
  12. Rascagneres, P. (2017, May 03). KONNI: A Malware Under The Radar For Years. Retrieved November 5, 2018.
  13. Grunzweig, J. and Miller-Osborn, J.. (2016, February 4). T9000: Advanced Modular Backdoor Uses Complex Anti-Analysis Techniques. Retrieved April 15, 2016.
  14. Rascagneres, P., Mercer, W. (2017, June 19). Delphi Used To Score Against Palestine. Retrieved November 13, 2018.
  15. Schwarz, D., Sopko J. (2018, March 08). Donot Team Leverages New Modular Malware Framework in South Asia. Retrieved June 11, 2018.
  16. Trend Micro. (2017, February 27). RATANKBA: Delving into Large-scale Watering Holes against Enterprises. Retrieved May 22, 2018.
  17. Grunzweig, J. and Miller-Osborn, J. (2017, November 10). New Malware with Ties to SunOrcal Discovered. Retrieved November 16, 2017.
  18. Symantec Security Response. (2014, July 7). Dragonfly: Cyberespionage Attacks Against Energy Suppliers. Retrieved April 8, 2016.
  19. F-Secure Labs. (2016, July). NANHAISHU RATing the South China Sea. Retrieved July 6, 2018.
  20. Mercer, W., Rascagneres, P. (2018, April 26). GravityRAT - The Two-Year Evolution Of An APT Targeting India. Retrieved May 16, 2018.
  21. Mandiant. (n.d.). Appendix C (Digital) - The Malware Arsenal. Retrieved July 18, 2016.
  22. Matsuda, A., Muhammad I. (2018, September 13). APT10 Targeting Japanese Corporations Using Updated TTPs. Retrieved September 17, 2018.
  23. Sardiwal, M, et al. (2017, December 7). New Targeted Attack in the Middle East by APT34, a Suspected Iranian Threat Group, Using CVE-2017-11882 Exploit. Retrieved December 20, 2017.
  24. ESET, et al. (2018, January). Diplomats in Eastern Europe bitten by a Turla mosquito. Retrieved July 3, 2018.
  25. ClearSky Cyber Security. (2017, December). Charming Kitten. Retrieved December 27, 2017.
  26. Patil, S. (2018, June 26). Microsoft Office Vulnerabilities Used to Distribute FELIXROOT Backdoor in Recent Campaign. Retrieved July 31, 2018.
  27. Cherepanov, A. (2018, October). GREYENERGY A successor to BlackEnergy. Retrieved November 15, 2018.
  28. Lunghi, D., et al. (2017, December). Untangling the Patchwork Cyberespionage Group. Retrieved July 10, 2018.
  29. The DigiTrust Group. (2017, January 12). The Rise of Agent Tesla. Retrieved November 5, 2018.
  30. Zhang, X. (2018, April 05). Analysis of New Agent Tesla Spyware Variant. Retrieved November 5, 2018.
  31. Kaspersky Lab's Global Research & Analysis Team. (2016, August 9). The ProjectSauron APT. Technical Analysis. Retrieved August 17, 2016.
  32. Somerville, L. and Toro, A. (2017, March 30). Playing Cat & Mouse: Introducing the Felismus Malware. Retrieved November 16, 2017.
  33. Symantec Security Response Attack Investigation Team. (2018, April 23). New Orangeworm attack group targets the healthcare sector in the U.S., Europe, and Asia. Retrieved May 8, 2018.
  34. McAfee® Foundstone® Professional Services and McAfee Labs™. (2011, February 10). Global Energy Cyberattacks: “Night Dragon”. Retrieved February 19, 2018.
  35. Baumgartner, K., Golovkin, M.. (2015, May). The MsnMM Campaigns: The Earliest Naikon APT Campaigns. Retrieved April 10, 2019.
  36. Falcone, R., Lee, B. (2018, November 20). Sofacy Continues Global Attacks and Wheels Out New ‘Cannon’ Trojan. Retrieved November 26, 2018.
  37. Yan, T., et al. (2018, November 21). New Wine in Old Bottle: New Azorult Variant Found in FindMyName Campaign using Fallout Exploit Kit. Retrieved November 29, 2018.
  38. Shulmin, A., Yunakovsky, S. (2017, April 28). Use of DNS Tunneling for C&C Communications. Retrieved November 5, 2018.
  39. Adair, S.. (2016, November 9). PowerDuke: Widespread Post-Election Spear Phishing Campaigns Targeting Think Tanks and NGOs. Retrieved January 11, 2017.
  40. Grunzweig, J.. (2017, April 20). Cardinal RAT Active for Over Two Years. Retrieved December 8, 2018.
  41. Windows Defender Advanced Threat Hunting Team. (2016, April 29). PLATINUM: Targeted attacks in South and Southeast Asia. Retrieved February 15, 2018.
  42. Shevchenko, S.. (2008, November 30). Agent.btz - A Threat That Hit Pentagon. Retrieved April 8, 2016.
  43. Kaspersky Lab's Global Research & Analysis Team. (2014, August 06). The Epic Turla Operation: Solving some of the mysteries of Snake/Uroboros. Retrieved November 7, 2018.
  44. Grunzweig, J., Lee, B. (2018, September 27). New KONNI Malware attacking Eurasia and Southeast Asia. Retrieved November 5, 2018.
  45. Hromcová, Z. (2018, June 07). InvisiMole: Surprisingly equipped spyware, undercover since 2013. Retrieved July 10, 2018.
  46. Faou, M. and Boutin, J.. (2017, February). Read The Manual: A Guide to the RTM Banking Trojan. Retrieved March 9, 2017.
  47. Rosenberg, J. (2018, June 14). MirageFox: APT15 Resurfaces With New Tools Based On Old Ones. Retrieved September 21, 2018.
  1. Falcone, R. (2018, January 25). OilRig uses RGDoor IIS Backdoor on Targets in the Middle East. Retrieved July 6, 2018.
  2. Robert Falcone. (2017, February 14). XAgentOSX: Sofacy's Xagent macOS Tool. Retrieved July 12, 2017.
  3. Miller-Osborn, J. and Grunzweig, J.. (2017, March 30). Trochilus and New MoonWind RATs Used In Attack Against Thai Organizations. Retrieved March 30, 2017.
  4. Cherepanov, A.. (2016, May 17). Operation Groundbait: Analysis of a surveillance toolkit. Retrieved May 18, 2016.
  5. Ivanov, A. et al.. (2018, May 7). SynAck targeted ransomware uses the Doppelgänging technique. Retrieved May 22, 2018.
  6. Svajcer, V. (2018, July 31). Multiple Cobalt Personality Disorder. Retrieved September 5, 2018.
  7. Villadsen, O.. (2019, August 29). More_eggs, Anyone? Threat Actor ITG08 Strikes Again. Retrieved September 16, 2019.
  8. Falcone, R., et al. (2018, July 27). New Threat Actor Group DarkHydrus Targets Middle East Government. Retrieved August 2, 2018.
  9. Carr, N.. (2017, May 14). Cyber Espionage is Alive and Well: APT32 and the Threat to Global Corporations. Retrieved June 18, 2017.
  10. Lee, B., Falcone, R. (2018, July 25). OilRig Targets Technology Service Provider and Government Agency with QUADAGENT. Retrieved August 9, 2018.
  11. Lancaster, T., Cortes, J. (2018, January 29). VERMIN: Quasar RAT and Custom Malware Used In Ukraine. Retrieved July 5, 2018.
  12. Dani Creus, Tyler Halfpop, Robert Falcone. (2016, September 26). Sofacy's 'Komplex' OS X Trojan. Retrieved July 8, 2017.
  13. Kaspersky Lab's Global Research & Analysis Team. (2018, October 15). Octopus-infested seas of Central Asia. Retrieved November 14, 2018.
  14. ESET. (2018, November 20). Sednit: What’s going on with Zebrocy?. Retrieved February 12, 2019.
  15. Anomali Labs. (2018, December 6). Pulling Linux Rabbit/Rabbot Malware Out of a Hat. Retrieved March 4, 2019.
  16. Check Point Research. (2019, February 4). SpeakUp: A New Undetected Backdoor Linux Trojan. Retrieved April 17, 2019.
  17. Livelli, K, et al. (2018, November 12). Operation Shaheen. Retrieved May 1, 2019.
  18. Proofpoint Staff. (2018, March 7). Leaked Ammyy Admin Source Code Turned into Malware. Retrieved May 28, 2019.
  19. Schwarz, D. and Proofpoint Staff. (2019, January 9). ServHelper and FlawedGrace - New malware introduced by TA505. Retrieved May 28, 2019.
  20. Fidelis Cybersecurity. (2013, June 28). Fidelis Threat Advisory #1009: "njRAT" Uncovered. Retrieved June 4, 2019.
  21. Sancho, D., et al. (2012, May 22). IXESHE An APT Campaign. Retrieved June 7, 2019.
  22. Patil, S. and Williams, M.. (2019, June 5). Government Sector in Central Asia Targeted With New HAWKBALL Backdoor Delivered via Microsoft Office Vulnerabilities. Retrieved June 20, 2019.
  23. Allievi, A., et al. (2014, October 28). Threat Spotlight: Group 72, Opening the ZxShell. Retrieved September 24, 2019.
  24. Unit 42. (2019, February 22). New BabyShark Malware Targets U.S. National Security Think Tanks. Retrieved October 7, 2019.
  25. Foltýn, T. (2018, March 13). OceanLotus ships new backdoor using old tricks. Retrieved May 22, 2018.
  26. Dahan, A. (2017). Operation Cobalt Kitty. Retrieved December 27, 2018.
  27. Mercer, W., Rascagneres, P. (2018, January 16). Korea In The Crosshairs. Retrieved May 21, 2018.
  28. Marczak, B. and Scott-Railton, J.. (2016, May 29). Keep Calm and (Don’t) Enable Macros: A New Threat Actor Targets UAE Dissidents. Retrieved June 8, 2016.
  29. Kaspersky Lab's Global Research & Analysis Team. (2018, October 10). MuddyWater expands operations. Retrieved November 2, 2018.
  30. FireEye iSIGHT Intelligence. (2017, June 16). FIN10: Anatomy of a Cyber Extortion Operation. Retrieved June 25, 2017.
  31. Grunzweig, J., Lee, B. (2016, January 22). New Attacks Linked to C0d0so0 Group. Retrieved August 2, 2018.
  32. Novetta Threat Research Group. (2016, February 24). Operation Blockbuster: Unraveling the Long Thread of the Sony Attack. Retrieved February 25, 2016.
  33. Novetta Threat Research Group. (2016, February 24). Operation Blockbuster: Destructive Malware Report. Retrieved March 2, 2016.
  34. Novetta Threat Research Group. (2016, February 24). Operation Blockbuster: Loaders, Installers and Uninstallers Report. Retrieved March 2, 2016.
  35. Novetta Threat Research Group. (2016, February 24). Operation Blockbuster: Remote Administration Tools & Content Staging Malware Report. Retrieved March 16, 2016.
  36. Sherstobitoff, R. (2018, February 12). Lazarus Resurfaces, Targets Global Banks and Bitcoin Users. Retrieved February 19, 2018.
  37. Lee, B. and Falcone, R. (2017, February 15). Magic Hound Campaign Attacks Saudi Targets. Retrieved December 27, 2017.
  38. Cymmetria. (2016). Unveiling Patchwork - The Copy-Paste APT. Retrieved August 3, 2016.
  39. Moran, N., et al. (2014, November 21). Operation Double Tap. Retrieved January 14, 2016.
  40. Kasza, A. and Reichel, D.. (2017, February 27). The Gamaredon Group Toolset Evolution. Retrieved March 1, 2017.
  41. Falcone, R. and Lee, B.. (2016, May 26). The OilRig Campaign: Attacks on Saudi Arabian Organizations Deliver Helminth Backdoor. Retrieved May 3, 2017.
  42. Grunzweig, J. and Falcone, R.. (2016, October 4). OilRig Malware Campaign Updates Toolset and Expands Targets. Retrieved May 3, 2017.
  43. US-CERT. (2018, March 16). Alert (TA18-074A): Russian Government Cyber Activity Targeting Energy and Other Critical Infrastructure Sectors. Retrieved June 6, 2018.
  44. Symantec Security Response. (2015, December 7). Iran-based attackers use back door threats to spy on Middle Eastern targets. Retrieved April 17, 2019.
  45. Alintanahin, K. (2015). Operation Tropic Trooper: Relying on Tried-and-Tested Flaws to Infiltrate Secret Keepers. Retrieved June 14, 2019.
  46. Cybereason Nocturnus. (2019, June 25). Operation Soft Cell: A Worldwide Campaign Against Telecommunications Providers. Retrieved July 18, 2019.
  47. Fraser, N., et al. (2019, August 7). Double DragonAPT41, a dual espionage and cyber crime operation APT41. Retrieved September 23, 2019.