Grupos de amenazas no categorizados (UNC)

Comunícate con nosotros

Descripción general

UNC2452

UNC2452 es un grupo sofisticado que ha atacado a entidades gubernamentales y del sector privado de todo el mundo. Han empleado muchas capacidades únicas, incluida la obtención de acceso inicial a través de una vulnerabilidad en la cadena de suministro de software.

Después de obtener acceso a la red de la víctima, UNC2452 tiene una huella de software malicioso ligera, ya que a menudo utiliza credenciales legítimas para acceder a los datos y moverse lateralmente. El Gobierno de EE.UU. atribuyó la vulneración de la cadena de suministro de SolarWinds, que rastreamos como UNC2452, al Servicio de Inteligencia Exterior de Rusia (SVR). Mandiant Threat Intelligence evalúa que la actividad de UNC2452 se alinea con las prioridades nacionales y estatales en general y que los patrones de ataques del grupo son coherentes con los intereses estratégicos rusos.

  • Visto por primera vez: diciembre de 2020
  • Región de origen: Rusia
  • Regiones de ataque: 12
  • Motivación: espionaje
  • Software malicioso asociado: BEACON, RAINDROP, SUNSHUTTLE, TEARDROP
  • Otros actores relacionados con este grupo: 6

Análisis de la campaña de intrusión UNC2452

UNC1878

UNC1878 es un grupo con motivación financiera que monetiza sus intrusiones extorsionando a sus víctimas luego de la implementación del ransomware RYUK. A partir de septiembre de 2020, Mandiant ha notado cada vez más a las campañas KEGTAP como el vector de infección inicial para las operaciones de UNC1878; anteriormente, UNC1878 utilizaba TrickBot para el acceso inicial. UNC1878 ha utilizado varias herramientas de seguridad ofensivas, comúnmente Cobalt Strike BEACON, junto con herramientas legítimas y comandos integrados como PSEXEC, WMI y BITSadmin.

  • Visto por primera vez: septiembre de 2020
  • Región de origen: Rusia
  • Regiones de ataque: 12
  • Motivación: ganancias económicas
  • Software malicioso asociado: ANCHOR, BEACON, BLUESPINE, CONTI Y 23 MÁS
  • Otros actores relacionados con este grupo: 11
  • Informes relevantes en Mandiant Advantage: 22

Recursos adicionales

UNC1945

UNC1945 es un grupo que se ha observado que tiene como objetivo varias organizaciones en los sectores de telecomunicaciones, finanzas y servicios comerciales desde, al menos, principios de 2018. El objetivo de UNC1945 es desconocido actualmente porque Mandiant no ha podido observar las actividades que siguieron a las vulneraciones de UNC1945. Según la información disponible, Mandiant no ha podido evaluar la ubicación general desde la que opera el grupo.

  • Visto por primera vez: agosto de 2020
  • Región de origen: desconocida
  • Regiones de ataque: desconocidas
  • Motivación: desconocida
  • Software malicioso asociado: EVILSUN, LEMONSTICK, LOGBLEACH, OPENSHACKLE, SLAPSTICK
  • Otros actores relacionados con este grupo: 1
  • Informes relevantes en Mandiant Advantage: 3

Recursos adicionales

UNC2529

UNC2529 es un grupo bien abastecido y experimentado que ha atacado a varias organizaciones de numerosas industrias en una campaña global de phishing. Han utilizado correos electrónicos de phishing que contienen vínculos intercalados a URLs maliciosas que alojan el malware DOUBLEDRAG, un descargador de JavaScript altamente ofuscado. UNC2529 también ha utilizado documentos de Microsoft Excel convertidos en armas como un descargador de primera etapa. DOUBLEDRAG intenta descargar un dropper de solo memoria de PowerShell ofuscado de segunda etapa, que Mandiant rastrea como DOUBLEDROP, que iniciará una puerta trasera en la memoria. Esta puerta trasera de tercera etapa se rastrea como DOUBLEBACK. UNC2529 mostró indicaciones de investigación de objetivos en función de su selección de direcciones de correo electrónico de remitentes y líneas de asunto que se adaptaron a las víctimas previstas. Aunque Mandiant no tiene datos sobre los objetivos de este agente de amenazas, sus amplios ataques en diferentes industrias y ubicaciones geográficas son congruentes con el cálculo de ataques que se observa con mayor frecuencia entre los grupos con motivación financiera.

  • Visto por primera vez: diciembre de 2020
  • Región de origen: desconocida
  • Regiones de ataque: 12
  • Motivación: desconocida
  • Software malicioso asociado: DOUBLEBACK, DOUBLEDRAG, DOUBLEDROP
  • Otros actores relacionados con este grupo: 0
  • Informes relevantes en Mandiant Advantage: 1


Google Cloud
DocumentaciónAsistencia
  • ‪English‬
  • ‪Deutsch‬
  • ‪Español‬
  • ‪Español (Latinoamérica)‬
  • ‪Français‬
  • ‪Indonesia‬
  • ‪Italiano‬
  • ‪Português (Brasil)‬
  • ‪简体中文‬
  • ‪繁體中文‬
  • ‪日本語‬
  • ‪한국어‬
Consola
Acceder
Security
Página principalInformación y experienciaSecOpsSeguridad en la nubeRecursos de seguridad
Asistencia para la respuesta ante incidentes
Comunicarse con nosotros
  • Acelera tu transformación digital
  • Google Cloud puede ayudarte a superar los desafíos más complejos, ya sea que tu negocio recién comience su recorrido o se encuentre en una fase avanzada de la transformación digital.
  • Productos de Google Cloud
  • Explora más de 100 productos. Los clientes nuevos obtienen $300 en créditos gratuitos para ejecutar, probar e implementar cargas de trabajo. Todos los clientes pueden usar más de 25 productos gratis, hasta alcanzar los límites de uso mensuales.
  • Ahorra dinero con nuestro enfoque transparente de precios
  • Los precios de prepago de Google Cloud ofrecen ahorros automáticos en función del uso mensual y las tarifas con descuento para recursos prepagados. Comunícate con nosotros hoy para obtener una cotización.
Google Cloud