Kelompok ancaman yang tidak dikategorikan (UNC)

Ringkasan

UNC2452

UNC2452 adalah kelompok canggih yang menyasar entitas pemerintah dan sektor swasta di seluruh dunia. Mereka telah menggunakan banyak kemampuan unik, termasuk mendapatkan akses awal melalui kerentanan supply chain software.

Setelah mendapatkan akses ke jaringan korban, UNC2452 memiliki jejak malware ringan, yang sering kali menggunakan kredensial yang sah untuk mengakses data dan berpindah secara lateral. Pemerintah AS mengaitkan penyusupan supply chain SolarWinds yang kami lacak sebagai UNC2452 dengan Foreign Intelligence Service (SVR) Rusia. Mandiant Threat Intelligence menilai bahwa aktivitas UNC2452 selaras dengan prioritas negara secara luas dan pola penargetan kelompok tersebut konsisten dengan kepentingan strategis Rusia.

Pertama kali ditemukan: Desember 2020
Region sumber: Rusia
Target region: 12
Motivasi: spionase
Malware terkait: BEACON, RAINDROP, SUNSHUTTLE, TEARDROP
Pelaku ancaman lain yang bergabung ke dalam kelompok ini: 6

Menjelajahi kampanye penyusupan UNC2452

UNC1878

UNC1878 adalah kelompok dengan motivasi finansial yang memonetisasi upaya penyusupan dengan memeras korban setelah deployment ransomware RYUK. Sejak September 2020, Mandiant semakin sering mengamati kampanye KEGTAP sebagai vektor infeksi awal untuk operasi UNC1878. Sebelumnya, UNC1878 menggunakan TrickBot untuk akses awal. UNC1878 telah menggunakan berbagai alat keamanan ofensif, biasanya menggunakan Cobalt Strike BEACON, bersama dengan alat yang sah dan perintah bawaan seperti PSEXEC, WMI, dan BITSadmin.

Pertama kali ditemukan: September 2020
Region sumber: Rusia
Target region: 16
Motivasi: keuntungan finansial
Malware terkait: LENGTH, BEACON, BLUESPINE, CONTI + 23 LAINNYA
Pelaku ancaman lain yang bergabung ke dalam kelompok ini: 11
Laporan yang relevan di Mandiant Advantage: 22

Referensi lainnya

UNC1945

UNC1945 adalah kelompok yang telah diketahui menargetkan sejumlah organisasi di bidang industri telekomunikasi, keuangan, dan jasa bisnis setidaknya sejak awal tahun 2018. Tujuan UNC1945 saat ini masih belum diketahui karena Mandiant tidak bisa mengamati aktivitas yang disertai penyusupan UNC1945. Berdasarkan informasi yang tersedia, Mandiant belum bisa menemukan lokasi umum tempat kelompok tersebut beroperasi.

Pertama kali ditemukan: Agustus 2020
Region sumber: tidak diketahui
Target region: tidak diketahui
Motivasi: tidak diketahui
Malware terkait: EVILSUN, LEMONSTICK, LOGBLEACH, OPENSHACKLE, SLAPSTICK
Pelaku ancaman lain yang bergabung ke dalam kelompok ini: 1
Laporan yang relevan di Mandiant Advantage: 3

Referensi lainnya

UNC2529

UNC2529 adalah kelompok dengan sumber daya dan pengalaman yang mumpuni, serta telah menarget banyak organisasi di berbagai industri dalam kampanye phishing global. Mereka telah menggunakan email phishing yang berisi link sisipan ke URL berbahaya yang menghosting malware DOUBLEDRAG, yakni downloader JavaScript yang sangat di-obfuscate. UNC2529 juga telah menggunakan dokumen Microsoft Excel yang dipersenjatai dengan malware tersebut sebagai downloader tahap pertama. DOUBLEDRAG mencoba mendownload dropper khusus memori PowerShell tahap kedua yang di-obfuscate, yang dilacak oleh Mandiant sebagai DOUBLEDROP, dan akan meluncurkan backdoor ke dalam memori. Backdoor tahap ketiga ini dilacak sebagai DOUBLEBACK. UNC2529 menampilkan indikasi riset target berdasarkan pilihan alamat email pengirim dan baris subjek yang disesuaikan dengan korban yang mereka tuju. Meskipun Mandiant tidak memiliki data tentang tujuan pelaku ancaman ini, penargetan mereka yang luas di seluruh industri dan wilayah geografis konsisten dengan kalkulus penargetan yang paling sering ditemui di kalangan kelompok yang termotivasi secara finansial.

Pertama kali ditemukan: Desember 2020
Region sumber: tidak diketahui
Target region: 12
Motivasi: tidak diketahui
Malware terkait: DOUBLEBACK, DOUBLEDRAG, DOUBLEDROP
Pelaku ancaman lain yang bergabung ke dalam kelompok ini: 0
Laporan yang relevan di Mandiant Advantage: 1