미분류(UNC) 위협 그룹

UNC1878은 침입 후 RYUK 랜섬웨어를 사용해서 피해자를 갈취하는 재정적 동기로 움직이는 그룹입니다. 2020년 9월부터 Mandiant는 UNC1878이 KEGTAP 캠페인으로 종종 공격을 시작한다는 것을 알게 되었습니다. 이전에는 UNC1878이 초기 액세스를 위해 TrickBot을 사용했습니다. UNC1878은 합법적인 도구와 PSEXEC, WMI, BITSadmin과 같은 내장된 명령어와 함께 Cobalt Strike BEACON과 같은 다양한 해킹 도구를 사용했습니다.

• 최초 발견: 2020년 9월
• 소스 리전: 러시아
• 타겟 리전: 16
• 동기: 금전적 이득
• 관련 멀웨어: ANCHOR, BEACON, BLUESPINE, CONTI + 23 MORE
• 이 그룹에 병합된 다른 행위자: 11
• Mandiant Advantage의 관련 보고서: 22

추가 리소스

UNC1945는 2018년 초부터 통신, 금융, 비즈니스 서비스 산업 부문에서 여러 조직을 공격하는 것으로 관측된 그룹입니다. UNC1945의 공격 이후 Mandiant에서 이 그룹의 활동을 관측할 수 없었기 때문에 UNC1945의 목적은 지금 명확하지 않습니다. 이용 가능한 정보를 기반으로 할 때 Mandiant는 이 그룹이 일반적으로 어디에 위치해 있는지 파악할 수 없었습니다.

• 최초 발견: 2020년 8월
• 소스 리전: 알 수 없음
• 타겟 리전: 알 수 없음
• 동기: 알 수 없음
• 관련 멀웨어: EVILSUN, LEMONSTICK, LOGBLEACH, OPENSHACKLE, SLAPSTICK
• 이 그룹에 병합된 다른 행위자: 1
• Mandiant Advantage의 관련 보고서: 3

추가 리소스

UNC2529는 자금이 풍부하고 숙련된 그룹이며, 피싱 캠페인을 통해 전 세계 여러 산업 분야의 많은 조직을 공격했습니다. 이들은 난독화 수준이 높은 JavaScript 다운로더인 DOUBLEDRAG 멀웨어를 호스팅하는 악의적인 URL에 대한 인라인 링크가 포함된 피싱 이메일을 사용했습니다. UNC2529는 또한 무기로 만든 Microsoft Excel 문서를 1단계 다운로더로서 활용했습니다. DOUBLEDRAG는 Mandiant가 DOUBLEDROP라고 부르는 2단계 난독화된 PowerShell 메모리 전용 드롭퍼를 다운로드하려고 시도하며, 이는 메모리의 백도어를 열어줍니다. 이 3단계 백도어는 DOUBLEBACK으로 추적됩니다. UNC2529는 의도한 피해자를 위해 맞춤화된 발신자 이메일 주소와 제목을 선택하여 대상을 조사하는 징후를 보였습니다. Mandiant는 이 위협 행위자의 목표를 알지 못하지만, 다양한 산업과 지역에 대한 광범위한 표적화는 재정적 동기가 있는 그룹에서 추진될 가능성이 있음을 시사합니다.

• 최초 발견: 2020년 12월
• 소스 리전: 알 수 없음
• 타겟 리전: 12
• 동기: 알 수 없음
• 관련 멀웨어: DOUBLEBACK, DOUBLEDRAG, DOUBLEDROP
• 이 그룹에 병합된 다른 행위자: 0
• Mandiant Advantage의 관련 보고서: 1