Grupos de ameaças não categorizados (UNC)

Aspectos gerais

UNC2452

O UNC2452 é um grupo sofisticado que tem como alvo entidades governamentais e do setor privado em todo o mundo. Eles usaram muitos recursos exclusivos, incluindo o acesso inicial por meio de uma vulnerabilidade da cadeia de suprimentos de software.

Após obter acesso à rede da vítima, o UNC2452 possui uma leve pegada de malware, frequentemente usando credenciais legítimas para acessar dados e mover-se lateralmente. O governo dos EUA atribuiu o comprometimento da cadeia de suprimentos da SolarWinds, que rastreamos como UNC2452, ao Serviço de Inteligência Estrangeira Russo (SVR). A Inteligência contra ameaças da Mandiant avalia que a atividade do UNC2452 se alinha amplamente às prioridades dos países e que os padrões de direcionamento do grupo são consistentes com os interesses estratégicos russos.

Visto pela primeira vez: dezembro de 2020
Região de origem: Rússia
Regiões segmentadas: 12
Motivação: espionagem
Malware associado: BEACON, RAINDROP, SUNSHUTTLE, TEARDROP
Outros atores se uniram a este grupo: 6

Como navegar pela campanha de intrusão do UNC2452

UNC1878

O UNC1878 é um grupo com motivação financeira que monetiza as intrusões extorquir suas vítimas após a implantação do ransomware RYUK. A partir de Setembro de 2020, a Mandiant observou cada vez mais as campanhas KEGTAP como o vetor de infecção inicial para as operações UNC1878; anteriormente, o UNC1878 usava o TrickBot para acesso inicial. O UNC1878 usou várias ferramentas de segurança ofensivas, mais comumente o Cobalt Strike BEACON, junto com ferramentas legítimas e comandos integrados, como PSEXEC, WMI e BITSadmin.

Visto pela primeira vez: setembro de 2020
Região de origem: Rússia
Regiões segmentadas: 16
Motivação: ganho financeiro
Malware associado: âncora, BEACON, BLUESPINE, CONTI + 23 MAIS
Outros atores se uniram a este grupo: 11
Relatórios relevantes no Mandiant Advantage: 22

Outros recursos

UNC1945

O UNC1945 é um grupo que tem sido observado como alvo de várias organizações nos setores de telecomunicações, financeiros e de serviços comerciais, pelo menos no início de 2018. O objetivo do UNC1945 atualmente é desconhecido porque a Mandiant não foi capaz de observar as atividades que seguiram os comprometimentos do UNC1945. Com base nas informações disponíveis, a Mandiant não foi capaz de avaliar uma localização geral a partir da qual o grupo opera.

Visto pela primeira vez: agosto de 2020
Região de origem: desconhecida
Regiões segmentadas: desconhecidas
Motivação: desconhecida
Malware associado: EVILSUN, LEMONSTICK, LOGBLEACH, OPENSHACKLE, SLAPSTICK
Outros atores se uniram a este grupo: 1
Relatórios relevantes no Mandiant Advantage: 3

Outros recursos

UNC2529

O UNC2529 é um grupo experiente e repleto de recursos que já visou várias organizações de vários setores em uma campanha global de phishing. Eles usaram e-mails de phishing contendo links embutidos para URLs maliciosos que hospedam o malware DOUBLEDRAG, um gerenciador de download de JavaScript altamente ofuscado. O UNC2529 também usou documentos armamentizados do Microsoft Excel como um downloader de primeiro estágio. O DOUBLEDRAG tenta fazer o download de um dropper PowerShell ofuscado de segundo estágio somente de memória, que a Mandiant rastreia como DOUBLEDROP, que iniciará um backdoor na memória. Esse backdoor de terceiro estágio é rastreado como DOUBLEBACK. O UNC2529 mostrou indicações de pesquisa alvo com base em sua seleção de endereços de e-mail de remetentes e linhas de assunto, que foram adaptadas às vítimas visadas. Embora a Mandiant não tenha dados sobre os objetivos desse agente de ameaça, seu amplo alvo entre setores e geografias é consistente com um cálculo de direcionamento visto mais comumente entre grupos com motivação financeira.

Visto pela primeira vez: dezembro de 2020
Região de origem: desconhecida
Regiões segmentadas: 12
Motivação: desconhecida
Malware associado: DOUBLEBACK, DOUBLEDRAG, DOUBLEDROP
Outros atores se mesclaram neste grupo: 0
Relatórios relevantes no Mandiant Advantage: 1