参考:
Mandiant: How Does Mandiant Distinguish Threat Groups?
- 定位到人:难以判断两个不同的事件,是否有同一个人所为;如果是两个人,这两人是否共同参与;如果两人无关,是否仅仅是使用同一网络,甚至同一电脑?
- 识别工具:不同组织可能使用开源工具、公开工具,例如pwdump, HTRAN, or Gh0st RAT。如果是非公开工具,两个组织是否可能共享工具?
- 人员流动:攻击者可换团队,或者几个团队的攻击者临时组成新团队
- 大会战:多个团队可能在一个场景中攻击同一目标