Grupos de amenazas sin clasificar (UNC)

Contactar

Información general

UNC2452

UNC2452 es un sofisticado grupo que ha atacado a entidades gubernamentales y del sector privado de todo el mundo. Han utilizado muchas funciones únicas, como obtener acceso inicial a través de una vulnerabilidad de la cadena de suministro de software.

Después de obtener acceso a la red de una víctima, UNC2452 deja una huella de malware ligera, y a menudo usa credenciales legítimas para acceder a los datos y moverse lateralmente. El Gobierno de EE. UU. atribuyó la vulneración de la cadena de suministro de SolarWinds, que registramos como UNC2452, al servicio de inteligencia extranjera de Rusia (SVR). Mandiant Threat Intelligence evalúa que la actividad de NC2452 se ajusta a las prioridades de los estados nacionales en general y que los patrones de segmentación del grupo se ajustan a los intereses estratégicos rusos.

  • Fecha de detección: diciembre del 2020
  • Región de origen: Rusia
  • Regiones objetivo: 12
  • Motivación: espionaje
  • Malware relacionado: BEACON, RAINDROP, SUNSHUTTLE, TEARDROP
  • Otros actores fusionados en este grupo: 6

Navigating the UNC2452 intrusion campaign

UNC1878

UNC1878 es un grupo con motivación económica que monetiza sus intrusiones extorsionando a sus víctimas tras el despliegue del ransomware RYUK. Desde septiembre del 2020, Mandiant ha observado cada vez más las campañas de KEGTAP como vector de infección inicial para las operaciones de UNC1878; anteriormente, UNC1878 utilizaba TrickBot para el acceso inicial. UNC1878 ha utilizado varias herramientas de seguridad ofensivas, como Cobalt Strike BEACON, junto con herramientas legítimas y comandos integrados, como PSEXEC, WMI y BITSadmin.

  • Fecha de detección: septiembre del 2020
  • Región de origen: Rusia
  • Regiones objetivo: 16
  • Motivación: ingresos económicos
  • Malware relacionado: ANCHOR, BEACON, BLUESPINE, CONTI Y 23 MÁS
  • Otros actores fusionados en este grupo: 11
  • Informes relevantes en Mandiant Advantage: 22

Otros recursos

UNC1945

UNC1945 es un grupo que se ha observado dirigiéndose a varias empresas de los sectores de las telecomunicaciones, las finanzas y los servicios empresariales desde principios del 2018, como mínimo. El objetivo de UNC1945 es desconocido en estos momentos porque Mandiant no ha podido observar las actividades que han seguido los ataques de UNC1945. Según la información disponible, Mandiant no ha podido evaluar una ubicación general desde la que opera el grupo.

  • Fecha de detección: agosto del 2020
  • Región de origen: desconocida
  • Regiones objetivo: desconocidas
  • Motivación: desconocida
  • Malware relacionado: EVILSUN, LEMONSTICK, LOGBLEACH, OpenSHACKLE, SLAPSTICK
  • Otros actores fusionados en este grupo: 1
  • Informes relevantes en Mandiant Advantage: 3

Otros recursos

UNC2529

UNC2529 es un grupo con muchos recursos y experiencia que ha atacado a varias organizaciones de diferentes sectores en una campaña de phishing a nivel mundial. La empresa ha utilizado correos de phishing que contienen enlaces insertados a URLs maliciosas que alojan malware de DOUBLEDRAG, una herramienta de descarga de JavaScript muy ofuscada. UNC2529 también ha utilizado documentos de Microsoft Excel armados como herramienta de descarga de primera fase. DOUBLEDRAG intenta descargar un cuentagotas de solo memoria ofuscado de PowerShell ofuscado de segunda fase, que Mandiant registra como DOUBLEDROP, para lanzar una puerta trasera a la memoria. Esta puerta trasera de tercera fase se identifica como DOUBLEBACK. UNC2529 mostró indicios de su objetivo de investigación basándose en la selección de direcciones de correo electrónico y asuntos de remitentes adaptados a las víctimas. Aunque Mandiant no dispone de datos sobre los objetivos de este atacante, su amplia segmentación en sectores y zonas geográficas es coherente con el cálculo de segmentación más común entre los grupos con motivación financiera.

  • Fecha de detección: diciembre del 2020
  • Región de origen: desconocida
  • Regiones objetivo: 12
  • Motivación: desconocida
  • Malware relacionado: DOUBLEBACK, DOUBLEDRAG, DOUBLEDROP
  • Otros actores fusionados en este grupo: 0
  • Informes relevantes en Mandiant Advantage: 1


Google Cloud
DocumentosAsistencia
  • ‪English‬
  • ‪Deutsch‬
  • ‪Español‬
  • ‪Español (Latinoamérica)‬
  • ‪Français‬
  • ‪Indonesia‬
  • ‪Italiano‬
  • ‪Português (Brasil)‬
  • ‪简体中文‬
  • ‪繁體中文‬
  • ‪日本語‬
  • ‪한국어‬
Consola
Iniciar sesión
Security
Página principalInteligencia y experienciaSecOpsSeguridad en la nubeRecursos sobre seguridad
Asistencia para responder a incidentes
Contactar
  • Agiliza tu transformación digital
  • Tanto si tu negocio ya está inmerso en la transformación digital como si aún se encuentra en la etapa inicial, Google Cloud puede ayudarte a hacer frente a los retos más difíciles.
  • Productos de Google Cloud
  • Descubre más de 100 productos. Los nuevos clientes reciben 300 USD en crédito gratis para ejecutar, probar y desplegar cargas de trabajo. Todos los clientes pueden usar más de 25 productos de forma gratuita hasta alcanzar los límites de uso mensuales.
  • Ahorra dinero con nuestro enfoque de transparencia sobre los precios
  • El modelo de pago por uso de Google Cloud ofrece ahorros automáticos en función del uso mensual y de las tarifas con descuento para los recursos de prepago. Ponte en contacto con nosotros y solicita un presupuesto.
Google Cloud