В период с декабря 2021 года по июль 2022 года команды Mandiant Managed Defense и Incident Response отреагировали на три вторжения UNC961 в разные организации, которые начались одинаково. Две из этих жертв находились под защитой Managed Defense, которая выявила угрозу и отреагировала на нее до того, как возникли значительные последствия. При третьем вторжении команда Mandiant Incident Response была вызвана после того, как UNC961 скомпрометировал жертву и передал доступ UNC3966.
Среди множества угроз UNC961 имеет финансовую мотивацию и, по крайней мере с 2016 года, в основном нацеливается на организации-жертвы в Северной Америке. UNC961 отличается тем, что быстро нацеливается на уязвимые серверы, выходящие в Интернет, в периоды раскрытия уязвимостей и кода эксплойтов. Эта группа угроз пересекается с несколькими кластерами угроз, о которых сообщалось публично, включая группу ProphetSpider, названную компанией CrowdStrike. Компания Mandiant впервые публично сообщила о UNC961 в нашем блоге, в статье Forged in Fire: A Survey of MobileIron Log4Shell Exploitation, в которой подробно описано, как группа угроз использовала уязвимость Log4Shell (CVE-2021-44228) для получения первоначального доступа. Мы считаем, что одной из основных целей этой группы является кража конфиденциальных данных у жертв и предоставление доступа к кластерам угроз, связанным с вымогательством выкупа.
UNC961 использует экономически эффективный подход к доступу к каждой жертве, используя общедоступный код эксплойтов из недавно раскрытых уязвимостей и используя их в качестве оружия. Мы часто наблюдали, как UNC961 использует популярные серверы приложений, выходящие в Интернет, включая Atlassian Confluence (CVE-2021-26084), Citrix ADC (CVE-2019-19781), Oracle WebLogic (CVE-2020-14750), Gitlab (CVE-2021-22205) и другие. Получив доступ, UNC961 обычно нацеливался на конфиденциальные данные, включая информацию о сетевой разведке и учетные данные, которые могли быть проданы или использованы для поддержки последующих миссий. Во многих случаях вторжение UNC961 предшествовало развертыванию вымогательских программ MAZE и EGREGOR различными последующими субъектами.
Indicators of Compromise
IPv4
- 104.149.170.183
- 107.181.187.182
- 107.181.187.184
- 136.244.69.29
- 209.141.61.225
- 23.227.203.214
- 37.1.209.20
- 45.61.136.39
- 5.149.250.214
URLs
- https://ms-prod19-live.com/rehjhj8785780923853/abc
- https://ms-prod19-live.com/rehjhj8785780923853/cdef
MD5
- 31c49b87463f4e4ce6ae4c442319d3a2
- c55f4b123c645f9c5a1d00205ab2e61e