UNC5221

UNC5221 ist eine vom chinesischen Staat gesponserte Spionagegruppe, die sich auf die Ausnutzung von internetfähigen Geräten spezialisiert hat. Sie setzt maßgeschneiderte malware und Persistenztechniken ein, um Regierungen, Verteidigungseinrichtungen, kritische Infrastrukturen und hochwertige Unternehmen weltweit zu infiltrieren.

Ist Ihr Unternehmen vor UNC5221-Angriffen sicher?

Der Ursprung von UNC5221

UNC5221 ist eine mutmaßliche, vom chinesischen Staat gesponserte Advanced Persistent Threat (APT)-Gruppe, die erstmals Ende 2023 von Mandiant öffentlich identifiziert wurde. Die Gruppe ist für ihre gezielten Spionagekampagnen bekannt, die sich auf Internet-Infrastrukturen, insbesondere VPN-Appliances und Edge-Geräte, konzentrieren. UNC5221 operiert mit einem Grad an Raffinesse, der mit langfristigen strategischen Zielen vereinbar ist, einschließlich der Aufrechterhaltung eines dauerhaften Zugangs, der Datenexfiltration und der Netzwerküberwachung.

  • Zuschreibung: In Verbindung mit China-nahen Cyberspionageoperationen, die wahrscheinlich das Ministerium für Staatssicherheit (MSS) unterstützen.
  • Motivation: Spionage und langfristiger Zugang zu sensiblen Systemen und Daten.
  • Operativer Schwerpunkt: Zero-day , heimliche malware und Persistenz in Edge-Infrastrukturen.

Länder, die von UNC5221 betroffen sind

Die Viktimologie von UNC5221 erstreckt sich über mehrere Regionen:

  • Nordamerika: Einschließlich der Vereinigten Staaten, mit Zielen in Bundesbehörden und Infrastruktur.
  • Europa: Insbesondere das Vereinigte Königreich und verbündete Regierungsstellen.
  • Naher Osten und Asien-Pazifik: Einschließlich Saudi-Arabien und andere regionale Energie- und Regierungssektoren.

Von UNC5221 angesprochene Branchen

UNC5221 zielt in erster Linie auf Sektoren ab, die den Prioritäten der geopolitischen Aufklärung entsprechen:

  • Kritische Infrastrukturen: Energie-, Wasser- und Erdgasversorger.
  • Regierung und Verteidigung: Ministerien, Aufsichtsbehörden und mit dem Militär verbundene Organisationen.
  • Technologie und Fertigung: Medizintechnik, Luft- und Raumfahrt und fortschrittliche Fertigung.
  • Finanzinstitutionen: Banken und Aufsichtsbehörden.

Bekannte Opfer

Während die Identität der meisten Opfer nicht öffentlich bekannt gegeben wird, berichtet Mandiant, dass UNC5221 Anfang 2024 weltweit weniger als zehn Organisationen kompromittiert hat. Diese Angriffe waren sehr zielgerichtet, wobei die Angreifer die Implantate oft an die jeweilige Opferumgebung anpassten.

Angriffsmethode

Angriffsstadien

Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.

Ausnutzung von zero-day und N-Day-Schwachstellen in VPN-Appliances (z. B. Ivanti, Citrix).

Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.

Installiert benutzerdefinierte malware mit Zugriff auf Systemebene.

Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.

Nutzt speicherinterne Nutzdaten, Protokollmanipulationen und trojanisierte Binärdateien, um die EDR- und SIEM-Erkennung zu umgehen.

Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.

Setzt Keylogger und Zugangsdaten-Diebe ein, die in Anmeldeseiten von Geräten eingebettet sind.

Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.

Führt Aufzählungstools und benutzerdefinierte Skripte aus, um die interne Netzwerktopologie abzubilden.

Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.

Nutzt gestohlene Anmeldeinformationen und SSH-Hintertüren, um sich über Netzwerksegmente hinweg zu bewegen.

Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.

Überwacht den Datenverkehr und extrahiert sensible Dokumente oder Anmeldedaten.

Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.

Verwendet Bash-Skripte, Python-Dienstprogramme und BusyBox-Befehle zur Ausführung von Nutzdaten.

Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.

Tunnelt Daten über verschlüsselte SSH-Kanäle oder eingebettete Tools.

Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.

Sie konzentrieren sich in erster Linie auf Heimlichkeit und Ausdauer, nicht auf Störung. Das Ziel ist langfristige Spionage.

Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.
Erster Zugang

Ausnutzung von zero-day und N-Day-Schwachstellen in VPN-Appliances (z. B. Ivanti, Citrix).

Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.
Rechte-Eskalation

Installiert benutzerdefinierte malware mit Zugriff auf Systemebene.

Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.
Verteidigung Umgehung

Nutzt speicherinterne Nutzdaten, Protokollmanipulationen und trojanisierte Binärdateien, um die EDR- und SIEM-Erkennung zu umgehen.

Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.
Zugang zu Anmeldeinformationen

Setzt Keylogger und Zugangsdaten-Diebe ein, die in Anmeldeseiten von Geräten eingebettet sind.

Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.
Entdeckung

Führt Aufzählungstools und benutzerdefinierte Skripte aus, um die interne Netzwerktopologie abzubilden.

Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.
Seitliche Bewegung

Nutzt gestohlene Anmeldeinformationen und SSH-Hintertüren, um sich über Netzwerksegmente hinweg zu bewegen.

Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.
Sammlung

Überwacht den Datenverkehr und extrahiert sensible Dokumente oder Anmeldedaten.

Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.
Ausführung

Verwendet Bash-Skripte, Python-Dienstprogramme und BusyBox-Befehle zur Ausführung von Nutzdaten.

Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.
Exfiltration

Tunnelt Daten über verschlüsselte SSH-Kanäle oder eingebettete Tools.

Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.
Auswirkungen

Sie konzentrieren sich in erster Linie auf Heimlichkeit und Ausdauer, nicht auf Störung. Das Ziel ist langfristige Spionage.

MITRE ATT&CK Kartierung

Von UNC5221 verwendete TTPs

TA0001: Initial Access
T1190
Exploit Public-Facing Application
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1505
Server Software Component
TA0004: Privilege Escalation
T1068
Exploitation for Privilege Escalation
TA0005: Defense Evasion
T1036
Masquerading
T1070
Indicator Removal
TA0006: Credential Access
T1056
Input Capture
TA0007: Discovery
T1083
File and Directory Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1039
Data from Network Shared Drive
T1005
Data from Local System
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
No items found.

Häufig gestellte Fragen