Gruppi di aggressori senza categoria (UNC)

Panoramica

UNC2452

UNC2452 è un gruppo sofisticato che ha preso di mira entità governative e del settore privato in tutto il mondo. Ha adottato molte funzionalità uniche, tra cui l'ottenimento dell'accesso iniziale attraverso una vulnerabilità della catena di fornitura del software.

Dopo aver ottenuto l'accesso alla rete di una vittima, UNC2452 ha una leggera impronta di malware, spesso utilizzando credenziali legittime per accedere ai dati e spostarsi lateralmente. Il governo degli Stati Uniti ha attribuito al servizio di intelligence straniera russa (SVR) la compromissione della catena di fornitura SolarWinds che noi tracciamo come UNC2452. Mandiant Threat Intelligence ritiene che l'attività di UNC2452 sia in linea con le priorità nazionali in generale e che i modelli di targeting del gruppo siano coerenti con gli interessi strategici russi.

Prima visualizzazione: dicembre 2020
Regione di origine: Russia
Regioni target: 12
Motivazione: spionaggio
Malware associati: BEACON, RAINDROP, SUNSHUTTLE, TEARDROP
Altri attori uniti in questo gruppo: 6

Navigating the UNC2452 intrusion campaign

UNC1878

UNC1878 è un gruppo con motivazioni finanziarie che monetizza le sue intrusioni sottoponendo le sue vittime a estorsione in seguito alla diffusione del ransomware RYUK. A partire da settembre 2020, Mandiant ha osservato sempre più campagne di KEGTAP come vettore di infezione iniziale per le operazioni di UNC1878; in precedenza, UNC1878 ha utilizzato TrickBot per l'accesso iniziale. UNC1878 ha utilizzato vari strumenti di sicurezza offensivi, più comunemente Cobalt Strike BEACON, insieme a strumenti legittimi e comandi integrati come PSEXEC, WMI e BITSadmin.

Prima visualizzazione: settembre 2020
Regione di origine: Russia
Regioni target: 16
Motivazione: guadagno economico
Malware associati: ANCHOR, BEACON, BLUESPINE, CONTI e ALTRI 23
Altri attori uniti in questo gruppo: 11
Report pertinenti in Mandiant Advantage: 22

Risorse aggiuntive

UNC1945

UNC1945 è un gruppo che è stato osservato prendere di mira un certo numero di organizzazioni nei settori delle telecomunicazioni, finanziari e dei servizi alle imprese almeno fin dall'inizio del 2018. L'obiettivo di UNC1945 è attualmente sconosciuto perché Mandiant non è stata in grado di osservare le attività che hanno seguito le compromissioni di UNC1945. Sulla base delle informazioni disponibili, Mandiant non è stata in grado di valutare una posizione generica da cui opera il gruppo.

Prima visualizzazione: agosto 2020
Regione di origine: sconosciuta
Regioni target: sconosciute
Motivazione: sconosciuta
Malware associati: EVILSUN, LEMONSTICK, LOGBLEACH, OPENSHACKLE, SLAPSTICK
Altri attori uniti in questo gruppo: 1
Report pertinenti in Mandiant Advantage: 3

Risorse aggiuntive

UNC2529

UNC2529 è un gruppo con ottime risorse ed esperienza che ha preso di mira diverse organizzazioni in numerosi settori in una campagna di phishing globale. Hanno usato email di phishing contenenti link in linea a URL dannosi che ospitano il malware DOUBLEDRAG, un downloader JavaScript altamente offuscato. UNC2529 ha utilizzato come arma anche documenti Microsoft Excel come downloader di prima fase. DOUBLEDRAG tenta di scaricare un dropper di sola memoria PowerShell offuscato di seconda fase, che Mandiant identifica come DOUBLEDROP, che lancerà una backdoor nella memoria. Questa backdoor di terza fase è tracciata come DOUBLEBACK. UNC2529 mostrava indicazioni di ricerche mirate in base alla selezione degli indirizzi email dei mittenti e degli oggetti che erano stati adattati alle vittime previste. Sebbene Mandiant non abbia dati sugli obiettivi di questo aggressore, il loro ampio bersaglio in vari settori e aree geografiche è coerente con il calcolo degli obiettivi più comunemente visto tra gruppi con motivazioni finanziarie.

Prima visualizzazione: dicembre 2020
Regione di origine: sconosciuta
Regioni target: 12
Motivazione: sconosciuta
Malware associati: DOUBLEBACK, DOUBLEDRAG, DOUBLEDROP
Altri attori uniti in questo gruppo: 0
Report pertinenti in Mandiant Advantage: 1