DebUNCing Attribution: Mandiant が未分類の攻撃者を追跡する方法

UNC902 to FIN11 news

UNC2452と呼ばれる脅威グループの詳細を公開した後、多くの人が初めて UNC という用語を耳にするようになりました。 「UNC」グループ (または「未分類」グループ) は、以前は主に社内で保管していた未加工の属性分析です。最近、 Mandiant Advantageのお客様に UNC 情報の展開を開始しました。これは、Mandiant の専門家が情報を作成し、侵害に対応し、クライアントを保護するために使用するソース資料と生の分析にユーザーが直接アクセスできるようにするためです。最近の出来事に照らして、私たちはUNC指定についてより多くの一般の人々にいくつかの詳細を提供したいと考えています.

UNC とは何ですか?

UNC グループは、攻撃者のインフラストラクチャ、ツール、トレード クラフトなどの観測可能なアーティファクトを含む、サイバー侵入活動のクラスターであり、APT や FIN などの分類を提供する準備がまだ整っていません。 UNC は、1 回のインシデントで発見されることが多い定義的で固定的な特性に基づいて作成されます。他のインシデントや積極的な収集活動に関連する新しいアーティファクトが発見されると、UNC は個別の証拠を結合するためのフレームワークを提供します。これらのクラスターは、成長したり、他のクラスターと結合したり、他のクラスターから切り離されたりする可能性があり、TEMP.Warlock などの TEMP 名で結合される可能性があり、FIN11 などの完全に定義されたグループに「卒業」する可能性があります (図 1 を参照)。 Mandiant Advantage で UNC グループを公開することで、完全に定義された脅威グループに「卒業」して公表される前に、APT および FIN グループになる可能性のあるグループをユーザーが追跡する方法を提供します。

UNC902 to FIN11
図 1: UNC902 から FIN11 へ

UNC が重要な理由

UNC は、古い証拠と新しい証拠の進化する理解に基づいて、時間の経過とともに大幅に変化する可能性があることに注意することが重要です。 UNC チャーンは複雑になる可能性があるため、UNC は、帰属プロセスの未加工段階から成熟段階を反映していると見なされます。初期の UNC から APT または FIN グループに至るまでには、通常、何年にもわたる骨の折れる収集、調査、および分析が必要です。何千もの証拠。何百時間もの作業。しかし、それは価値があります!アトリビューション分析が成長し、成熟するにつれて、ネットワーク防御者に複合的な利益をもたらし、応答と修復の取り組みを分類して優先順位を付け、一部の攻撃を予測して防止できるようになると強く信じています。表 1 を参照してください。強力なインテリジェンス値を提供できます。

UNC特性

知能値

戦術的

悪用されたマルウェア、ドメイン、IP、CVE などの指標

ブロック リスト、検出シグネチャ、パッチ適用の優先度

運用中

動作のパターン、たとえば操作の頻度、一般的に使用されるツール、ターゲットの場所とセクター

既知の TTP の監視と緩和を確立し、新しいインフラストラクチャ登録またはその他のパターンを特定して、アクティビティを予測しようとします。

戦略的

動機、目標;潜在的なスポンサー、アソシエート

脅威グループを組織のリスク評価に組み込みます。組織に影響を与える可能性が最も高い攻撃者とその理由を検討し、侵害による最悪のシナリオを特定します。

表 1: さまざまな段階でのアトリビューションのインテリジェンス値

UNC の使用方法: ケース スタディ

UNC1878

2020 年 3 月に初めて UNC1878 について公に議論し、最初の TrickBot の侵害がいかに迅速にインタラクティブなバックドアとラテラル ムーブメントのインストールにつながったかを説明しました。このインシデントは、追加の攻撃者の行動が観察される前に検出され、封じ込められましたが、それにもかかわらず、追加の調査が促進され、RYUK ランサムウェアが展開された後の侵害を元の活動セットに関連付けることができました。当時、インテリジェンスの価値は、TrickBot などの広く配布されたマルウェアがランサムウェア感染の前兆である可能性があることを強調していました。また、特に UNC1878 が最初の足場からラテラル ムーブメントに至るまでの驚くべき速さ (アラートの優先順位付けのための重要な運用上および戦略上の洞察) を強調していました。およびリスク評価。

2020 年 10 月下旬までに、この一連の活動をさらに調査した結果、 追加のマルウェア ファミリとインフラストラクチャが明らかになり、グループの最も一般的な戦術、技術、および手順 (TTP) について、時間の経過とともにどのように進化したかを含め、より確実に理解されました。また、世界的なパンデミックにもかかわらず、UNC1878 はランサムウェアで医療施設を積極的に標的にしているという警告を発することを可能にする標的型の被害者学パターンを特定することもできました。

Mandiant Advantage の UNC1878
図 2: Mandiant Advantage の UNC1878

UNC1945

UNC1945は、攻撃者の目的やその潜在的な起源に関する情報をまだ特定していないケースを表していますが、このアクティビティ クラスターの戦術は十分に重要であり、注意を喚起する価値があります。たとえば、Mandiant は、Oracle Solaris Pluggable Authentication Module (PAM) のゼロデイ脆弱性を悪用する UNC1945、 CVE-2020-14871 を発見しました。最近パッチをリリースしたベンダーに脆弱性を報告しました。この攻撃者がさまざまなオペレーティング システムを悪用し、リソースや多数のツールセットへのアクセスを示し、複数のサードパーティ ネットワークを横断することを確認しました。 UNC1945 は、サード パーティの侵害を通じて、特定の金融およびコンサルティング組織を標的にしているように見えることを指摘しました。

これらの評価により、クライアントは、観察されたターゲティング パターンに基づいて組織に対する潜在的な戦略的リスクを評価し、サード パーティの侵害ベクトルに対抗するための戦術的戦略を確認し、インジケーターと署名をダウンロードして、この脅威に対して運用上の防御手順を実行することができます。

UNC1945 アクターの詳細
図 3: UNC1945 アクターの詳細

結論

UNC グループは、Mandiant のインシデント対応者、研究者、およびアナリストをサポートして、悪意のあるアクティビティを追跡し、観察結果を行動に変えて防御側に力を与えます。これらはまた、Mandiant Advantage がクライアントにソース資料と未加工の分析を使用してトレードクラフトを改善し、できれば自分の環境での防御的な結果を改善する方法の 1 つでもあります。さらに、UNC グループは、完全に定義された脅威グループに「卒業」して公に発表される前に、APT および FIN グループになるアクティビティ セットをユーザーが追跡できるようにします。

参照: https://www.mandiant.com/resources/blog/how-mandiant-tracks-uncategorized-threat-actors

Comments

タイトルとURLをコピーしました