未分類 (UNC) 威脅組織

總覽

UNC2452

UNC2452 是一個攻擊手法老到的組織，以全球的政府機關和民間企業實體為攻擊目標。他們運用許多獨特的技能，包括透過軟體供應鏈安全漏洞取得初始存取權。

在獲得受害網路的存取權後，UNC2452 的惡意軟體足跡很輕微，通常使用合法憑證來存取資料並橫向移動。美國政府將 SolarWinds 供應鏈入侵歸因於俄羅斯聯邦對外情報局 (SVR)，我們以 UNC2452 來追蹤這項入侵。Mandiant Threat Intelligence 評估後認為，UNC2452 的活動大致符合國家級的優先事項，該組織的目標鎖定模式與俄羅斯的戰略利益一致。

初次發生時間：2020 年 12 月
來源區域：俄羅斯
目標區域：12
動機：間諜活動
相關的惡意軟體：BEACON、RAINDROP、SUNSHUTTLE、TEARDROP
其他併入這個組織的執行者：6

因應 UNC2452 入侵活動

UNC1878

UNC1878 是一個經濟動機威脅組織，在部署 RYUK 勒索軟體後，藉由勒索其受害者，從入侵中謀利。截至 2020 年 9 月，Mandiant 觀察到將 KEGTAP 活動做為 UNC1878 行動的首次感染媒介情況越來越多；過去 UNC1878 是使用 TrickBot 進行初始存取。UNC1878 使用了各種令人反感的安全工具，最常見的是 Cobalt Strike BEACON，還有合法工具和內建命令，如 PSEXEC、WMI 和 BITSadmin 等。

初次發生時間：2020 年 9 月
來源區域：俄羅斯
目標區域：16
動機：獲取經濟利益
相關的惡意軟體：EE、BEACON、BLUESPINE、CONTI 及其他 23 種
其他併入這個組織的執行者：11
Mandiant Advantage 中的相關報告：22

其他資源

UNC1945

自 2018 年初以來，我們都觀察到 UNC1945 機構持續鎖定電信、金融及商業服務產業中的許多機構為目標。但目前的 UNC1945 目標不明，因為 Mandiant 還未能觀察到這個組織繼 UNC1945 入侵之後的活動。根據現有資訊，Mandiant 尚無法評估這個組織的運作所在地。

初次發生時間：2020 年 8 月
來源區域：不明
目標區域：不明
動機：不明
相關的惡意軟體：EVILSUN、LEMONSTICK、LOGBLEACH、OPENSHACKLE、SLAPSTICK
其他併入這個組織的執行者：1
Mandiant Advantage 中的相關報告：3

其他資源

UNC2529

UNC2529 是一個資源充足且經驗豐富的組織，在全球網路釣魚活動中，以多產業多機構為攻擊目標。他們使用網路釣魚電子郵件，內含內嵌連結，只要點選這些連結，就會進入代管 DOUBLEDRAG 惡意軟體的惡意網址，這個惡意軟體就是經過高度模糊化的 JavaScript 下載程式。UNC2529 也使用武器化的 Microsoft Excel 文件當成第一階段下載程式。DOUBLEDRAG 會嘗試下載第二階段模糊化的 PowerShell 記憶體專屬病毒植入程式 (Mandiant 以 DOUBLEDROP 追蹤這個程式)，其將啟動後門程式進入記憶體。這個第三階段後門程式則以 DOUBLEBACK 進行追蹤。UNC2529 顯示出針對目標進行研究的跡象，他們選擇的寄件者電子郵件地址與主旨行是根據鎖定的受害者量身定制的。雖然 Mandiant 沒有關於此威脅執行者目標的資料，但他們廣泛鎖定多個產業和地理位置，與經濟動機組織中最常見的目標計算方式一致。

初次發生時間：2020 年 12 月
來源區域：不明
目標區域：12
動機：不明
相關的惡意軟體：DOUBLEBACK、DOUBLEDRAG、DOUBLEDROP
其他併入這個組織的執行者：0
Mandiant Advantage 中的相關報告：1