Texture Top Right Grey 01

UNC脅威グループ

「UNC」もしくは「未分類 (uncategorized)」脅威グループとは、サイバー侵害活動のクラスターのことであり、APTやFINといった明確な分類ができる段階にないものを示します。サイバー侵害活動には、攻撃者のインフラや使用するツール、攻撃パターンなどが含まれます。

これらのUNCグループでより多くの痕跡や分析情報が収集されると、Mandiant Threat Intelligenceは、TEMP、APT、またはFINグループなどへの昇格の過程で、これらの活動をほかのUNCグループと統合したり、再分類することがあります。

無償版:サイバー脅威インテリジェンス

Mandiant AdvantageはUNCグループに関する情報を随時更新しています

最近発見されたグループ

UNC2452 | UNC1878 | UNC1945 | UNC2529 | UNC2639

UNC2452

UNC2452 は、世界中の政府および民間企業を標的にしてきた高度なスキルを持つ攻撃者グループです。 UNC2452 は、ソフトウェア・サプライ チェーンの脆弱性を介した初期アクセスの取得など、多くの独自機能を採用しています。

UNC2452は、被害者のネットワークにアクセスした後、軽量なフットプリントのマルウェアを用いて、多くの場合は正規の認証情報を使用してデータにアクセスし、水平展開します。米国政府は、UNC2452として追跡するSolarWindsのサプライチェーン侵害は、ロシア対外情報庁(SVR)によるものであるとしています。Mandiant Threat Intelligenceは、UNC2452の活動はロシア国家の優先事項と幅広く一致しており、グループの標的パターンはロシアの戦略的利益と一致していると評価しています。

  • 初めて確認された年: 2020年12月
  • 発源地: ロシア
  • 標的とされる地域: 12
  • 動機: エスピオナージ(スパイ活動)
  • 関連するマルウェア: BEACON、RAINDROP、SUNSHUTTLE、TEARDROP
  • このグループに統合されたほかの攻撃者: 6
  • Mandiant Advantageで利用可能な関連レポート: 21
     

UNC1878

UNC1878は、RYUKランサムウェアを展開した後に被害者を恐喝する手法を用いて侵入を収益化する、金銭的動機を持つグループです。2020年9月現在Mandiantは、UNC1878の活動の初期感染経路としてKEGTAPキャンペーンを観測することが多くなっています。以前は初期アクセスにTrickBotを使用していました。UNC1878は、PSEXEC、WMI、BITSadminなどの正規のツールや組み込みコマンドに加えて、Cobalt Strike BEACONに代表される様々な攻撃的なセキュリティ・ツールを使用しています。

  • 初めて確認された年: 2020年9月
  • 発源地: ロシア
  • 標的とされる地域: 16
  • 動機: 金銭的利益
  • 関連するマルウェア: ANCHOR、BEACON、BLUESPINE、CONTI + 23 MORE
  • このグループに統合されたほかの攻撃者: 11
  • Mandiant Advantageで利用可能な関連レポート: 22

UNC1945

UNC1945は、少なくとも2018年初頭から、通信、金融、ビジネス・サービス業界の多くの組織を標的にしていることが観測されているグループです。Mandiantは、UNC1945の侵害に続く活動を観測できていないため、UNC1945の目的は現在のところ不明です。利用可能な情報に基づいて、Mandiantはこのグループが活動する一般的な場所を評価できていません。

  • 初めて確認された年: 2020年8月
  • 発源地: 不明
  • 標的とされる地域: 不明
  • 動機: 不明
  • 関連マルウェア: EVILSUN、LEMONSTICK、LOGBLEACH、OPENSHACKLE、SLAPSTICK
  • このグループに統合されたほかの攻撃者: 1
  • Mandiant Advantageで利用可能な関連レポート: 3

UNC2529

UNC2529は、豊富な資金と経験を持つグループで、グローバルなフィッシング・キャンペーンを展開し、様々な業界の複数の組織を標的にしています。UNC2529は、高度に難読化されたJavascriptのダウンローダーでDOUBLEDRAGマルウェアをホストする悪意のあるURLへのインライン・リンクを含むフィッシング・メールを使用しています。また、UNC2529は、第1段階のダウンローダーとして、武器化されたMicrosoft Excel文書も使用しています。DOUBLEDRAGは、第2段階の難読化されたPowerShellのメモリ専用のドロッパーをダウンロードしようとします。これによりメモリにバックドアを起動します。DOUBLEDRAGは、MandiantがDOUBLEDROPとして追跡しています。この第3段階のバックドアは、「DOUBLEBACK」として追跡されています。UNC2529は、意図した被害者に合わせて送信者のメールアドレスや件名を選択していることから、ターゲットリサーチの兆候が見られました。Mandiantは、この脅威アクターの目的に関するデータを持っていませんが、業界や地域を超えた幅広いターゲットを設定していることから、金銭的な動機を持つグループによく見られるターゲットの計算方法と一致しています。

  • 初めて確認された年: 2020年12月
  • 発源地: 不明
  • 標的とされる地域: 12
  • 動機: 不明
  • 関連するマルウェア: DOUBLEBACK、DOUBLEDRAG、DOUBLEDROP
  • このグループに統合されたほかの攻撃者: 0
  • Mandiant Advantageで利用可能な関連レポート: 1

UNC2639

UNC2639は、2021年3月初旬にMicrosoft Exchangeの複数のゼロデイ脆弱性を悪用していることが初めて確認されました。この攻撃者は、これらの脆弱性を利用して、CHINACHOPを含むWebShellを展開します。

  • 初めて確認された年: 2021年3月
  • 発源地: 不明
  • 標的とされる地域: 2
  • 動機: 不明
  • 関連マルウェア: CHINACHOP
  • このグループに統合されたほかの攻撃者: 0
  • Mandiant Advantageで利用可能な関連リンク: 6

UNCに関するブログ

Texture Side Right Grey 02

その他のUNCグループ

これらの投稿は、以下の多数のUNC脅威アクターを取り上げています:
UNC2582, UNC2546, UNC2529, UNC26528, UNC2659, UNC2465, UNC2447, UNC1151, UNC2198, UNC2420, UNC2374, UNC2414.

 

Threat Intelligence 無償版

組織にとって重要な脅威を今すぐ知る

Mandiant Threat Intelligence 無償版にご登録いただくとUNCグループについての以下の詳細なレポートを入手できます:

  • 標的とされる業種
  • 動機
  • 活動地域
  • マルウェアのタイプ
  • 支援する国家
Wolf Threat Actors