UNC-кластер (Uncategorized)
Что такое UNC-кластер (Uncategorized)?
UNC-кластер (Uncategorized)Рабочее обозначение Mandiant для набора связанных вторжений, чей актор, мотивация или спонсор пока не подтверждены настолько, чтобы повысить кластер до APT или FIN.
UNC означает Uncategorized — это рабочая метка Mandiant для кластеров активности, наблюдаемых в нескольких инцидентах, но ещё не атрибутированных с высокой уверенностью. Кластер UNC выстраивается из технических совпадений (malware, C2, инфраструктура, стиль кода, TTPs, виктимология). При достаточной уверенности UNC может «выпуститься» в APT (шпионаж), FIN (финансы) или получить тематическое имя; может быть слит с другим кластером или разделён. Нумерация UNC даёт стабильную ссылку для обмена разведданными без преждевременной атрибуции. Microsoft использует аналогичные временные имена (DEV-####, ныне Storm-####). UNC4841 (связан с Китаем, zero-day Barracuda ESG 2023) — известный пример.
● Примеры
- 01
В 2023 году UNC4841 описывали как эксплуатанта zero-day Barracuda Email Security Gateway (CVE-2023-2868) против правительств по всему миру.
- 02
UNC2452 — изначальное обозначение Mandiant для акторов компрометации SolarWinds, позже связанное с APT29.
● Частые вопросы
Что такое UNC-кластер (Uncategorized)?
Рабочее обозначение Mandiant для набора связанных вторжений, чей актор, мотивация или спонсор пока не подтверждены настолько, чтобы повысить кластер до APT или FIN. Относится к категории Защита и операции в кибербезопасности.
Что означает UNC-кластер (Uncategorized)?
Рабочее обозначение Mandiant для набора связанных вторжений, чей актор, мотивация или спонсор пока не подтверждены настолько, чтобы повысить кластер до APT или FIN.
Как работает UNC-кластер (Uncategorized)?
UNC означает Uncategorized — это рабочая метка Mandiant для кластеров активности, наблюдаемых в нескольких инцидентах, но ещё не атрибутированных с высокой уверенностью. Кластер UNC выстраивается из технических совпадений (malware, C2, инфраструктура, стиль кода, TTPs, виктимология). При достаточной уверенности UNC может «выпуститься» в APT (шпионаж), FIN (финансы) или получить тематическое имя; может быть слит с другим кластером или разделён. Нумерация UNC даёт стабильную ссылку для обмена разведданными без преждевременной атрибуции. Microsoft использует аналогичные временные имена (DEV-####, ныне Storm-####). UNC4841 (связан с Китаем, zero-day Barracuda ESG 2023) — известный пример.
Как защититься от UNC-кластер (Uncategorized)?
Защита от UNC-кластер (Uncategorized) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия UNC-кластер (Uncategorized)?
Распространённые альтернативные названия: Кластер UNC.
● Связанные термины
- defense-ops№ 057
APT-группа
Именованный и отслеживаемый субъект угроз (как правило, при государственной поддержке), ведущий целенаправленные, длительные и обеспеченные кампании против отдельных организаций или отраслей.
- defense-ops№ 418
FIN-группа
Обозначение в стиле Mandiant для финансово мотивированной группы, чьи вторжения направлены против платёжных систем, ритейла, гостеприимства и финансовых учреждений.
- defense-ops№ 1145
Субъект угрозы
Лицо или группа, целенаправленно причиняющая или пытающаяся причинить вред информационным системам, организациям или людям через киберопераций.
- defense-ops№ 1148
Threat Intelligence
Основанные на доказательствах знания об угрозах и злоумышленниках — индикаторах, TTP и контексте — используемые для принятия решений по безопасности и настройки детектирования.
- attacks№ 017
Целевая постоянная угроза (APT)
Скрытный, обеспеченный ресурсами актор угрозы — как правило, спонсируемый государством — который получает долгосрочный незаметный доступ к целевой сети для кражи данных или предварительного закрепления.
- defense-ops№ 1131
Тактики, техники и процедуры (TTP)
Многоуровневое описание поведения злоумышленника: тактики (зачем), техники (как) и процедуры (конкретная реализация).