UNC5221

UNC5221 è un gruppo di spionaggio sponsorizzato dallo Stato cinese, specializzato nello sfruttamento di apparecchiature rivolte a Internet, che utilizza malware personalizzato e tecniche di persistenza per infiltrarsi in aziende governative, della difesa, di infrastrutture critiche e di alto valore in tutto il mondo.

La vostra organizzazione è al sicuro dagli attacchi UNC5221?

L'origine di UNC5221

UNC5221 è un gruppo di Advanced Persistent Threat (APT) sospettato di essere sponsorizzato dallo Stato cinese, identificato pubblicamente per la prima volta alla fine del 2023 da Mandiant. Il gruppo è noto per le sue campagne di spionaggio altamente mirate, incentrate sulle infrastrutture rivolte a Internet, in particolare sulle appliance VPN e sui dispositivi edge. UNC5221 opera con un livello di sofisticazione coerente con gli obiettivi strategici a lungo termine, tra cui il mantenimento dell'accesso persistente, l'esfiltrazione dei dati e la sorveglianza della rete.

  • Attribuzione: Legato a operazioni di spionaggio informatico legate alla Cina, probabilmente a sostegno del Ministero della Sicurezza di Stato (MSS).
  • Motivazione: Spionaggio e accesso a lungo termine a sistemi e dati sensibili.
  • Focus operativo: Sfruttamento Zero-day , impianti di malware furtivi e persistenza nell'infrastruttura edge.

Paesi destinatari dell'UNC5221

La vittimologia dell'UNC5221 abbraccia diverse regioni:

  • America del Nord: compresi gli Stati Uniti, con obiettivi nelle agenzie federali e nelle infrastrutture.
  • Europa: In particolare il Regno Unito e gli enti governativi alleati.
  • Medio Oriente e Asia-Pacifico: compresa l'Arabia Saudita e altri settori energetici e governativi regionali.

Industrie interessate dall'UNC5221

UNC5221 si rivolge principalmente a settori allineati alle priorità dell'intelligence geopolitica:

  • Infrastrutture critiche: Fornitori di energia, acqua e gas naturale.
  • Governo e Difesa: Ministeri, autorità di regolamentazione e organizzazioni affiliate alle forze armate.
  • Tecnologia e produzione: Tecnologia medica, aerospaziale e manifatturiera avanzata.
  • Istituzioni finanziarie: Banche e agenzie di regolamentazione.

Vittime conosciute

Sebbene le identità della maggior parte delle vittime non siano state rivelate pubblicamente, Mandiant ha riferito che UNC5221 ha compromesso meno di dieci organizzazioni a livello globale all'inizio del 2024. Queste intrusioni erano altamente mirate, con gli aggressori che spesso personalizzavano gli impianti per ogni ambiente vittima.

Metodo di attacco

Fasi dell'attacco

Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.

Sfrutta le vulnerabilità zero-day e n-day nelle appliance VPN (ad esempio, Ivanti, Citrix).

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.

Installa un malware dropper personalizzato con accesso a livello di sistema.

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.

Utilizza payload in memoria, manomissione dei registri e binari troianizzati per eludere il rilevamento EDR e SIEM.

Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.

Distribuisce keylogger e ruba credenziali incorporati nelle pagine di login dei dispositivi.

Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.

Esegue strumenti di enumerazione e script personalizzati per mappare la topologia della rete interna.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.

Sfrutta credenziali rubate e backdoor SSH per spostarsi tra i segmenti di rete.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.

Monitora il traffico ed estrae documenti o credenziali sensibili.

Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.

Utilizza script Bash, utility Python e comandi BusyBox per l'esecuzione del payload.

Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.

Tunnel di dati tramite canali SSH criptati o strumenti integrati.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.

Si concentra principalmente sulla furtività e sulla persistenza, non sull'interruzione. L'obiettivo è lo spionaggio a lungo termine.

Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.
Accesso iniziale

Sfrutta le vulnerabilità zero-day e n-day nelle appliance VPN (ad esempio, Ivanti, Citrix).

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.
Escalation dei privilegi

Installa un malware dropper personalizzato con accesso a livello di sistema.

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.
Difesa Evasione

Utilizza payload in memoria, manomissione dei registri e binari troianizzati per eludere il rilevamento EDR e SIEM.

Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.
Accesso alle credenziali

Distribuisce keylogger e ruba credenziali incorporati nelle pagine di login dei dispositivi.

Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.
Scoperta

Esegue strumenti di enumerazione e script personalizzati per mappare la topologia della rete interna.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.
Movimento laterale

Sfrutta credenziali rubate e backdoor SSH per spostarsi tra i segmenti di rete.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.
Collezione

Monitora il traffico ed estrae documenti o credenziali sensibili.

Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.
Esecuzione

Utilizza script Bash, utility Python e comandi BusyBox per l'esecuzione del payload.

Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.
Esfiltrazione

Tunnel di dati tramite canali SSH criptati o strumenti integrati.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.
Impatto

Si concentra principalmente sulla furtività e sulla persistenza, non sull'interruzione. L'obiettivo è lo spionaggio a lungo termine.

MITRE ATT&CK Mappatura

TTP utilizzati da UNC5221

TA0001: Initial Access
T1190
Exploit Public-Facing Application
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1505
Server Software Component
TA0004: Privilege Escalation
T1068
Exploitation for Privilege Escalation
TA0005: Defense Evasion
T1036
Masquerading
T1070
Indicator Removal
TA0006: Credential Access
T1056
Input Capture
TA0007: Discovery
T1083
File and Directory Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1039
Data from Network Shared Drive
T1005
Data from Local System
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
No items found.

DOMANDE FREQUENTI