未分類（UNC）脅威グループ

概要

UNC2452

UNC2452 は、世界中の官公庁や民間組織を標的とする高度な攻撃グループです。ソフトウェアサプライチェーンの脆弱性を介して初期アクセスを取得するなど、独自の機能を多数採用しています。

UNC2452 は、標的のネットワークにアクセスした後、マルウェアのフットプリントが軽く、多くの場合、正規の認証情報を使用してデータにアクセスし、水平展開します。米国政府は、FireEye が UNC2452 として追跡している SolarWinds サプライチェーン攻撃を、ロシア対外情報庁（SVR）によるものだとしています。Mandiant Threat Intelligence は、UNC2452 の活動は概して国家の優先事項と一致しており、このグループの標的パターンはロシアの戦略的利益と一致していると評価しています。

初回検知日：2020 年 12 月
攻撃元の地域：ロシア
攻撃対象の地域：12
目的：スパイ活動
関連するマルウェア：BEACON、RAINDROP、SUNSHUTTLE、TEARDROP
このグループに合流した脅威アクター：6 人

UNC2452 による侵入活動へ移動

UNC1878

UNC1878 は金銭目的のグループであり、RYUK ランサムウェアの展開後、被害者を恐喝することで侵害から利益を得ています。2020 年 9 月の時点で、Mandiant では、UNC1878 オペレーションの初期感染経路として、KEGTAP キャンペーンをますます観察しています。以前、UNC1878 は初期アクセスに TrickBot を使用していました。UNC1878 は、さまざまな攻撃的セキュリティ・ツール（最も一般的には Cobalt Strike BEACON）と、正規のツールや、PSEXEC、WMI、BITSadmin などの組み込みコマンドを使用しています。

初回検知日：2020 年 9 月
攻撃元の地域：ロシア
攻撃対象の地域：16
動機：金銭的な利益
関連するマルウェア：Anchor、BEACON、BLUESPINE、CONTI、他 23 のマルウェア
このグループに合流した他の脅威アクター：11 人
Mandiant Advantage の関連レポート：22

補足資料

UNC1945

UNC1945 は、遅くとも 2018 年初頭から、通信、金融、業務サービス業界の多くの組織を標的としたことが確認されているグループです。Mandiant では、UNC1945 の侵害に続く活動を観察できていないため、UNC1945 の目標は現時点では不明です。入手可能な情報だけでは、Mandiant はこのグループが活動しているおおよその場所を特定できていません。

初回検知日：2020 年 8 月
攻撃元の地域: 不明
対象地域: 不明
動機：不明
関連するマルウェア：EVILSUN、LEMONSTICK、LOGBLEACH、OPENSHACKLE、SLAPSTICK
このグループに合流した他の脅威アクター: 1 人
Mandiant Advantage の関連レポート：3

補足資料

UNC2529

UNC2529 は豊富なリソースを持つ経験豊富なグループです。グローバルなフィッシング・キャンペーンで、さまざまな業界の複数の組織を標的にしてきました。不正な URL へのインライン・リンクを含むフィッシング・メールを使用して、高度に難読化された JavaScript ダウンローダーである DOUBLEDRAG マルウェアをホストしています。UNC2529 は、第 1 段階のダウンローダーとして、武器化された Microsoft Excel 文書も使用しています。DOUBLEDRAG は、第 2 段階の難読化された PowerShell メモリ専用ドロッパーのダウンロードを試みます。これは Mandiant が DOUBLEDROP として追跡しており、これによってメモリにバックドアが起動されます。この第 3 段階のバックドアは、DOUBLEBACK として追跡されています。UNC2529 は、選択した送信者の E メールアドレスと件名から、標的とされる標的に合わせて調整された標的研究の兆候を示しました。Mandiant では、この脅威アクターの目標となるデータはありませんが、業種や地域をまたいだ広範な標的を標的としていることは、金銭目的のグループによく見られる標的計算と整合しています。

初回検知日：2020 年 12 月
攻撃元の地域：不明
攻撃対象の地域：12
動機：不明
関連するマルウェア：DOUBLEBACK、DOUBLEDRAG、DOUBLEDROP
このグループに合流した他の脅威アクター: 0
Mandiant Advantage の関連レポート：1