Groupes de cybermenaces sans catégorie (UNC)

Nous contacter

Présentation

UNC2452

UNC2452 est un groupe sophistiqué qui a ciblé des organismes gouvernementaux et privés dans le monde entier. Il a utilisé de nombreuses capacités uniques, y compris l’obtention d’un accès initial grâce à une vulnérabilité de la chaîne d’approvisionnement logicielle.

Après avoir accédé au réseau de sa victime, UNC2452 s'engouffre dans une légère empreinte de logiciel malveillant, et utilise souvent des identifiants légitimes pour accéder aux données et se déplacer latéralement. Le gouvernement américain a attribué la compromission de la chaîne d'approvisionnement de SolarWinds au service de renseignement extérieur russe (SVR), que nous traçons sous le nom d'UNC2452. Mandiant Threat Intelligence estime que les activités d’UNC2452 s’alignent sur les priorités étatiques et que les modes de ciblage du groupe sont en phase avec les intérêts stratégiques de la Russie.

  • Première apparition : décembre 2020
  • Région source : Russie
  • Régions ciblées : 12
  • Motivation : espionnage
  • Logiciels malveillants associés : BEACON, RAINDROP, SUNSHUTTLE, TEARDROP
  • Autres acteurs fusionnés dans ce groupe : 6

Comprendre la campagne contre les intrusions d'UNC2452

UNC1878

UNC1878 est un groupe à motivation financière qui monétise ses intrusions en extorquant des victimes à la suite du déploiement du rançongiciel RYUK. Depuis septembre 2020, les campagnes KEGTAP sont de plus en plus utilisées comme vecteur d’infection initiale pour les opérations d’UNC1878. Auparavant, UNC1878 utilisait TrickBot pour l’accès initial. UNC1878 a utilisé divers outils de sécurité offensifs, le plus souvent Cobalt Strike BEACON, ainsi que des outils légitimes et des commandes intégrées tels que PSEXEC, WMI et BITSadmin.

  • Première apparition : septembre 2020
  • Région source : Russie
  • Régions ciblées : 16
  • Motivation : gain financier
  • Logiciels malveillants associés : ANC, BEACON, BLUESPINE, CONTI + 23 AUTRE(S)
  • Autres acteurs fusionnés dans ce groupe : 11
  • Rapports pertinents dans Mandiant Advantage : 22

Autres ressources

UNC1945

Depuis au moins début 2018, UNC1945 a ciblé un certain nombre d’organisations des secteurs des télécommunications, de la finance et des services aux entreprises. L’objectif d’UNC1945 reste inconnu, car Mandiant n’a pas été en mesure d’observer les activités qui ont suivi les compromissions d’UNC1945. D’après les informations dont nous disposons, Mandiant n’a pas été en mesure d’identifier le lieu d’activité du groupe.

  • Première apparition : août 2020
  • Région source : inconnue
  • Régions ciblées : inconnues
  • Motivation : inconnue
  • Logiciels malveillants associés : EVILSUN, LEMONSTICK, LOGBLEACH, OPENSHACKLE, SLAPSTICK
  • Autres acteurs fusionnés dans ce groupe : 1
  • Rapports pertinents dans Mandiant Advantage : 3

Autres ressources

UNC2529

UNC2529 est un groupe expérimenté et doté de ressources suffisantes qui a ciblé plusieurs organisations de différents secteurs dans le cadre d’une campagne mondiale de phishing. Il a utilisé des e-mails d'hameçonnage contenant des liens intégrés vers des URL malveillantes hébergeant DOUBLEDRAG, un programme de téléchargement JavaScript très obscurci. UNC2529 s’est également servi de documents Microsoft Excel armés pour télécharger des applications. DOUBLEDRAG tente de télécharger un dropper de mémoire PowerShell obscurci de deuxième étape, que Mandiant suit sous le nom de DOUBLEDRAG, qui lancera une backdoor dans la mémoire. Cette porte dérobée de troisième étape est suivie sous le nom de DOUBLEBACK. UNC2529 affichait des indications concernant des cibles de recherche en se basant sur le choix des adresses e-mail d'expéditeurs et sur des lignes d'objet adaptées aux victimes. Bien que Mandiant ne dispose d’aucune donnée sur les objectifs de cet acteur, son ciblage élargi par secteurs et zones géographiques s’aligne sur l’analyse de ciblage la plus courante parmi les groupes à motivation financière.

  • Première apparition : décembre 2020
  • Région source : inconnue
  • Régions ciblées : 12
  • Motivation : inconnue
  • Logiciels malveillants associés : DOUBLEBACK, DOUBLEDRAG, DOUBLEDROP
  • Autres acteurs fusionnés dans ce groupe : 0
  • Rapports pertinents dans Mandiant Advantage : 1


Google Cloud
DocumentationAssistance
  • ‪English‬
  • ‪Deutsch‬
  • ‪Español‬
  • ‪Español (Latinoamérica)‬
  • ‪Français‬
  • ‪Indonesia‬
  • ‪Italiano‬
  • ‪Português (Brasil)‬
  • ‪简体中文‬
  • ‪繁體中文‬
  • ‪日本語‬
  • ‪한국어‬
Console
Se connecter
Security
Page d'accueilRenseignements et expertiseSecOpsSécurité du cloudRessources concernant la sécurité
Assistance à la réponse aux incidents
Nous contacter
  • Accélérez votre transformation numérique
  • Votre entreprise a déjà bien amorcé son processus de transformation numérique ? Vous n'en êtes qu'aux premiers stades ? Dans les deux cas, Google Cloud peut vous aider à relever vos défis les plus complexes.
  • Produits Google Cloud
  • Parcourez plus de 100 produits. Les nouveaux clients bénéficient de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail. Tous les clients peuvent utiliser plus de 25 produits gratuitement, dans les limites mensuelles spécifiées.
  • Faites des économies grâce à notre approche transparente concernant la tarification
  • Le paiement à l'usage de Google Cloud permet de réaliser des économies automatiques basées sur votre utilisation mensuelle et des tarifs réduits pour les ressources prépayées. Contactez-nous dès aujourd'hui afin d'obtenir un devis.
Google Cloud