UNC961 APT IOCs

security IOC

В период с декабря 2021 года по июль 2022 года команды Mandiant Managed Defense и Incident Response отреагировали на три вторжения UNC961 в разные организации, которые начались одинаково. Две из этих жертв находились под защитой Managed Defense, которая выявила угрозу и отреагировала на нее до того, как возникли значительные последствия. При третьем вторжении команда Mandiant Incident Response была вызвана после того, как UNC961 скомпрометировал жертву и передал доступ UNC3966.

Среди множества угроз UNC961 имеет финансовую мотивацию и, по крайней мере с 2016 года, в основном нацеливается на организации-жертвы в Северной Америке. UNC961 отличается тем, что быстро нацеливается на уязвимые серверы, выходящие в Интернет, в периоды раскрытия уязвимостей и кода эксплойтов. Эта группа угроз пересекается с несколькими кластерами угроз, о которых сообщалось публично, включая группу ProphetSpider, названную компанией CrowdStrike. Компания Mandiant впервые публично сообщила о UNC961 в нашем блоге, в статье Forged in Fire: A Survey of MobileIron Log4Shell Exploitation, в которой подробно описано, как группа угроз использовала уязвимость Log4Shell (CVE-2021-44228) для получения первоначального доступа. Мы считаем, что одной из основных целей этой группы является кража конфиденциальных данных у жертв и предоставление доступа к кластерам угроз, связанным с вымогательством выкупа.

UNC961 использует экономически эффективный подход к доступу к каждой жертве, используя общедоступный код эксплойтов из недавно раскрытых уязвимостей и используя их в качестве оружия. Мы часто наблюдали, как UNC961 использует популярные серверы приложений, выходящие в Интернет, включая Atlassian Confluence (CVE-2021-26084), Citrix ADC (CVE-2019-19781), Oracle WebLogic (CVE-2020-14750), Gitlab (CVE-2021-22205) и другие. Получив доступ, UNC961 обычно нацеливался на конфиденциальные данные, включая информацию о сетевой разведке и учетные данные, которые могли быть проданы или использованы для поддержки последующих миссий. Во многих случаях вторжение UNC961 предшествовало развертыванию вымогательских программ MAZE и EGREGOR различными последующими субъектами.

Indicators of Compromise

IPv4

  • 104.149.170.183
  • 107.181.187.182
  • 107.181.187.184
  • 136.244.69.29
  • 209.141.61.225
  • 23.227.203.214
  • 37.1.209.20
  • 45.61.136.39
  • 5.149.250.214

URLs

  • https://ms-prod19-live.com/rehjhj8785780923853/abc
  • https://ms-prod19-live.com/rehjhj8785780923853/cdef

MD5

  • 31c49b87463f4e4ce6ae4c442319d3a2
  • c55f4b123c645f9c5a1d00205ab2e61e
SEC-1275-1
Добавить комментарий