Unkategorisierte Bedrohungsgruppen (UNC)

Kontakt

Übersicht

UNC2452

UNC2452 ist eine versierte Hackergruppe, die weltweit staatliche und private Unternehmen angegriffen hat. Sie haben viele einzigartige Funktionen eingesetzt, unter anderem durch eine Sicherheitslücke in der Softwarelieferkette Zugang zu den Hackerangriffen erlangt.

Nachdem sich UNC2452 Zugriff auf das Netzwerk des betroffenen Opfers verschafft hat, kommt es nur wenig Malware vor. Oft nutzt UNC2452 legitime Anmeldedaten, um auf die Daten zuzugreifen und sich auszubreiten. Die US-Regierung führte den von uns als UNC2452 identifizierten Angriff auf die SolarWinds-Lieferkette dem russischen Foreign Intelligence Service (SVR) zu. Mandiant Threat Intelligence bewertet, dass die Aktivitäten von UNC2452 allgemein mit staatlichen Prioritäten übereinstimmen und ob die Zielmuster der Hacker mit den strategischen Interessen der russischen Hacker übereinstimmen.

  • Erstmals erfasst: Dezember 2020
  • Quellregion: Russland
  • Zielregionen: 12
  • Motivation: Spionage
  • Zugehörige Malware: BEACON, RAINDROP, SUNSHUTTLE, TEARDROP
  • Andere Akteure sind in dieser Gruppe zusammengeführt: 6

So funktioniert die Angriffskampagne von UNC2452

UNC1878

UNC1878 ist eine finanziell motivierte Gruppe, die ihre Angriffe monetarisiert, indem sie ihre Opfer nach der Implementierung der RYUK-Ransomware erpresst. Seit September 2020 beobachtet Mandiant verstärkt KEGTAP-Kampagnen als ersten Angriffsvektor für UNC1878-Angriffe. zuvor nutzten UNC1878 den TrickBot für den ersten Zugriff. UNC1878 hat verschiedene beleidigende Sicherheitstools, am häufigsten Cobalt Strike BEACON, sowie legitime Tools und integrierte Befehle wie PSEXEC, WMI und BITSadmin eingesetzt.

  • Erstmals erfasst: September 2020
  • Quellregion: Russland
  • Zielregionen: 16
  • Motivation: finanzielle Bereicherung
  • Zugehörige Malware: ANCHOR, BEACON, BLUESPINE, CONTI + 23 weitere
  • Andere Akteure sind in dieser Gruppe zusammengeführt: 11
  • Relevante Berichte in Mandiant Advantage: 22

Zusätzliche Ressourcen

UNC1945

UNC1945 ist eine Gruppe, die seit mindestens Anfang 2018 Angriffe auf eine Reihe von Unternehmen in der Telekommunikations-, Finanz- und Unternehmensdienstleistungsbranche beobachtet. Das Ziel von UNC1945 ist derzeit nicht bekannt, da Mandiant die Aktivitäten nach den Angriffen durch UNC1945 nicht nachvollziehen konnte. Basierend auf den verfügbaren Informationen konnten Mandiant-Experten keinen allgemeinen Standort ermitteln, von dem aus die Gruppe tätig ist.

  • Erstmals erfasst: August 2020
  • Quellregion: unbekannt
  • Zielregionen: unbekannt
  • Motivation: unbekannt
  • Zugehörige Malware: EVILSUN, LEMONSTICK, LOGBLEACH, OPENSHACKLE, SLAPSTICK
  • Andere Akteure sind in dieser Gruppe zusammengeführt: 1
  • Relevante Berichte in Mandiant Advantage: 3

Zusätzliche Ressourcen

UNC2529

UNC2529 ist eine gut ausgebildete und erfahrene Gruppe, die im Rahmen einer globalen Phishing-Kampagne mehrere Unternehmen in verschiedenen Branchen angegriffen hat. Sie haben Phishing-E-Mails mit Inline-Links zu schädlichen URLs verwendet, die DOUBLEDRAG-Malware hosten, einen stark verschleierten JavaScript-Downloader. UNC2529 hat außerdem mit Waffen bewaffnete Microsoft Excel-Dokumente als Downloader für die erste Phase eingesetzt. DOUBLEDRAG versucht, einen verschleierten PowerShell-Dropper für die zweite Phase herunterzuladen, der von Mandiant als DOUBLEDROP verfolgt wird. Damit wird eine Backdoor im Arbeitsspeicher gestartet. Diese Backdoor der dritten Phase wird als DOUBLEBACK erfasst. UNC2529 zeigte Hinweise auf Zielforschungen auf der Grundlage der ausgewählten E-Mail-Adressen der Absender und der Betreffzeilen, die auf die jeweiligen Opfer zugeschnitten waren. Mandiant verfügt zwar über keine Daten zu den Zielen dieser Hacker, aber die breit aufgestellte Angriffsfläche in verschiedenen Branchen und Regionen steht im Einklang mit einer Berechnung, die am häufigsten bei finanziell motivierten Gruppen zu beobachten ist.

  • Erstmals erschienen: Dezember 2020
  • Quellregion: unbekannt
  • Zielregionen: 12
  • Motivation: unbekannt
  • Zugehörige Malware: DOUBLEBACK, DOUBLEDRAG, DOUBLEDROP
  • Andere Akteure sind in dieser Gruppe zusammengeführt: 0
  • Relevante Berichte in Mandiant Advantage: 1


Google Cloud
DocsSupport
  • ‪English‬
  • ‪Deutsch‬
  • ‪Español‬
  • ‪Español (Latinoamérica)‬
  • ‪Français‬
  • ‪Indonesia‬
  • ‪Italiano‬
  • ‪Português (Brasil)‬
  • ‪简体中文‬
  • ‪繁體中文‬
  • ‪日本語‬
  • ‪한국어‬
Console
Anmelden
Security
StartseiteErkenntnisse und FachwissenSecOpsCloud-SicherheitSicherheitsressourcen
Unterstützung bei der Reaktion auf Vorfälle
Kontakt
  • Beschleunigen Sie Ihre digitale Transformation
  • Ganz gleich, ob Ihr Unternehmen erst am Anfang seines Wegs der digitalen Transformation steht oder schon einiges erreicht hat – Google Cloud unterstützt Sie dabei, Ihre größten Herausforderungen zu bewältigen.
  • Google Cloud-Produkte
  • Lernen Sie über 100 Produkte kennen. Neukunden erhalten ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen. Alle Kunden können innerhalb der monatlichen Nutzungslimits mehr als 25 Produkte kostenlos nutzen.
  • Sparen Sie Geld mit unserem transparenten Preisansatz
  • „Pay-as-you-go“-Preise von Google Cloud bieten automatische Einsparungen basierend auf der monatlichen Nutzung und ermäßigten Preisen für Prepaid-Ressourcen Kontaktieren Sie uns, um ein Angebot zu erhalten.
Google Cloud