UNC5221は、中国国家が支援する高度な持続的脅威（APT）グループの疑いがあり、Mandiantによって 2023年後半に初めて公に確認された。このグループは、インターネットに面したインフラ、特にVPNアプライアンスやエッジデバイスに焦点を当てた高度な標的型スパイ活動で知られています。UNC5221は、持続的アクセス、データ流出、ネットワーク監視の維持など、長期的な戦略目標に合致した高度なレベルで活動しています。

帰属 国家安全保障省（MSS）を支援している可能性が高い。
動機スパイ活動、機密システムやデータへの長期的なアクセス。
オペレーション・フォーカス Zero-day 攻撃、ステルス型malware インプラント、エッジインフラにおける持続性。

UNC5221の対象国

UNC5221の被害者学はいくつかの地域にまたがっている：

北米：米国を含み、連邦政府機関やインフラを対象とする。
ヨーロッパ：特にイギリスと関連政府機関。
中東・アジア太平洋地域：サウジアラビア、その他地域のエネルギーおよび政府部門を含む。

UNC5221の対象産業

UNC5221は主に、地政学的情報の優先順位に沿ったセクターを対象としている：

重要インフラ：エネルギー、水、天然ガスの供給業者。
政府と防衛：省庁、規制当局、軍関連組織。
テクノロジーと製造：医療技術、航空宇宙、先端製造業。
金融機関銀行および規制機関

Critical National Infrastructure (CNI)

Federal

Technology

Manufacturing

Financial Services and Banking

既知の犠牲者

ほとんどの被害者の身元は公表されていませんが、Mandiant社によると、UNC5221は2024年初頭に世界全体で10未満の組織に侵入しました。これらの侵入は高度に標的化されており、攻撃者は被害者の環境ごとにインプラントをカスタマイズすることがよくありました。

攻撃方法

攻撃ステージ

コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。

VPNアプライアンス（Ivanti、Citrixなど）のzero-day およびnデイ脆弱性を悪用。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。

システムレベルにアクセスできるmalware インストールします。

‍

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。

インメモリペイロード、ログ改ざん、トロイの木馬化バイナリを使用して、EDRとSIEMの検出を回避します。

‍

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。

デバイスのログインページに埋め込まれたキーロガーやクレデンシャル・スティーラーを展開する。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。

列挙ツールとカスタムスクリプトを実行し、内部ネットワークトポロジーをマッピングする。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。

盗まれた認証情報とSSHバックドアを利用してネットワークセグメントを移動する。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。

トラフィックを監視し、機密文書や認証情報を抽出する。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。

ペイロードの実行には、Bashスクリプト、Pythonユーティリティ、BusyBoxコマンドを使用します。

一連のファイルが秘密のチャネルを通じてコンピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。

暗号化されたSSHチャネルまたは組み込みツールを介してデータをトンネリングする。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。

破壊ではなく、ステルスと持続に主眼を置いている。目標は長期的なスパイ活動。

初期アクセス

VPNアプライアンス（Ivanti、Citrixなど）のzero-day およびnデイ脆弱性を悪用。

特権エスカレーション

システムレベルにアクセスできるmalware インストールします。

‍

防御回避

インメモリペイロード、ログ改ざん、トロイの木馬化バイナリを使用して、EDRとSIEMの検出を回避します。

‍

クレデンシャル・アクセス

デバイスのログインページに埋め込まれたキーロガーやクレデンシャル・スティーラーを展開する。

ディスカバリー

列挙ツールとカスタムスクリプトを実行し、内部ネットワークトポロジーをマッピングする。

ラテラルムーブ

盗まれた認証情報とSSHバックドアを利用してネットワークセグメントを移動する。

コレクション

トラフィックを監視し、機密文書や認証情報を抽出する。

実行

ペイロードの実行には、Bashスクリプト、Pythonユーティリティ、BusyBoxコマンドを使用します。

データ流出

暗号化されたSSHチャネルまたは組み込みツールを介してデータをトンネリングする。

インパクト

破壊ではなく、ステルスと持続に主眼を置いている。目標は長期的なスパイ活動。

MITRE ATT&CK マッピング

UNC5221が使用したTTP

TA0001: Initial Access

T1190

Exploit Public-Facing Application

TA0002: Execution

T1059

Command and Scripting Interpreter

TA0003: Persistence

T1505

Server Software Component

TA0004: Privilege Escalation

T1068

Exploitation for Privilege Escalation

TA0005: Defense Evasion

T1036

Masquerading

T1070

Indicator Removal

TA0006: Credential Access

T1056

Input Capture

TA0007: Discovery

T1083

File and Directory Discovery

T1018

Remote System Discovery

TA0008: Lateral Movement

T1021

Remote Services

TA0009: Collection

T1039

Data from Network Shared Drive

T1005

Data from Local System

TA0011: Command and Control

No items found.

TA0010: Exfiltration

T1048

Exfiltration Over Alternative Protocol

TA0040: Impact

No items found.

プラットフォーム検出

UNC5221

UNC5221の起源

UNC5221の対象国