UNC2452 是一个成熟的组织,其目标是全球范围内的政府和私营部门实体。他们采用了许多独特的功能,包括通过软件供应链漏洞获取初始访问权限。
在获得对受害者网络的访问权限后,UNC2452 的恶意软件足迹很轻,通常使用合法凭据访问数据并横向移动。美国政府将我们追踪到的 UNC2452 SolarWinds 供应链漏洞归咎于俄罗斯对外情报局 (SVR)。Mandiant Threat Intelligence 评估认为,UNC2452 活动与民族/国家优先事项大体一致,并且该组织的目标模式符合俄罗斯的战略利益。
UNC1878 是一个以经济利益为动机的团体,在部署 RYUK 勒索软件后,利用入侵通过勒索受害者来获利。自 2020 年 9 月起,Mandiant 越来越多地观察到 KEGTAP 活动作为 UNC1878 行动的初始感染媒介;UNC1878 使用 TrickBot 进行初始访问。UNC1878 使用了各种攻击性安全工具,最常见的是 Cobalt Strike BEACON,以及合法工具和内置命令,例如 PSEXEC、WMI 和 BITSadmin。
UNC1945 是一个自 2018 年初以来就一直针对电信、金融和商业服务行业的多家组织进行攻击的组织。UNC1945 的目标目前尚不清楚,因为 Mandiant 未能观察到 UNC1945 攻击之后的活动。根据现有信息,Mandiant 无法评估该组织开展活动的大致位置。
UNC2529 是一个资源丰富、经验丰富的犯罪团伙,其在全球网络钓鱼活动中针对多个行业的多个组织进行了攻击。他们曾使用网络钓鱼电子邮件,其中包含托管 DOUBLEDRAG 恶意软件的内嵌链接,此软件是一种经过高度混淆处理的 JavaScript 下载程序。UNC2529 还使用武器化的 Microsoft Excel 文档作为第一阶段下载程序。DOUBLEDRAG 尝试下载经过混淆处理的第二阶段 PowerShell 纯内存植入程序,Mandiant 将其跟踪为 DOUBLEDROP,这会在内存中启动后门。这个第三阶段后门是以 DOUBLEBACK 为名称进行跟踪。UNC2529 根据针对目标受害者选择的发件人电子邮件地址和主题行显示了目标研究的迹象。虽然 Mandiant 没有关于该威胁行为者的目标的数据,但他们跨越行业和地域的广泛目标,与最常见的以经济利益为动机的组织的目标计算一致。
