UNC 集群(未分类)
UNC 集群(未分类) 是什么?
UNC 集群(未分类)Mandiant 用于跟踪一组相关入侵的代号,其行为者、动机或支持者尚未足以确认,无法升格为 APT 或 FIN。
UNC 即 Uncategorized,是 Mandiant 在多起事件中观察到但尚未高信心归因的活动集群的临时编号。UNC 通过技术重合(恶意软件、C2、基础设施、编码风格、TTPs、受害分布)构建。当信心与佐证充分时,UNC 可以升格为 APT(间谍)、FIN(谋利)或主题化名称;否则也可能被合并或拆分。UNC 编号为情报共享提供稳定参照,而无需过早做出归因。微软使用类似的临时命名(DEV-#### 现已改为 Storm-####)。UNC4841(与中国相关,2023 年 Barracuda ESG 0day 事件)是典型案例。
● 示例
- 01
UNC4841 在 2023 年被披露利用 Barracuda 邮件安全网关 0day(CVE-2023-2868)攻击各国政府。
- 02
UNC2452 是 Mandiant 最初用以指代 SolarWinds 事件幕后行为者的编号,后被关联至 APT29。
● 常见问题
UNC 集群(未分类) 是什么?
Mandiant 用于跟踪一组相关入侵的代号,其行为者、动机或支持者尚未足以确认,无法升格为 APT 或 FIN。 它属于网络安全的 防御与运营 分类。
UNC 集群(未分类) 是什么意思?
Mandiant 用于跟踪一组相关入侵的代号,其行为者、动机或支持者尚未足以确认,无法升格为 APT 或 FIN。
UNC 集群(未分类) 是如何工作的?
UNC 即 Uncategorized,是 Mandiant 在多起事件中观察到但尚未高信心归因的活动集群的临时编号。UNC 通过技术重合(恶意软件、C2、基础设施、编码风格、TTPs、受害分布)构建。当信心与佐证充分时,UNC 可以升格为 APT(间谍)、FIN(谋利)或主题化名称;否则也可能被合并或拆分。UNC 编号为情报共享提供稳定参照,而无需过早做出归因。微软使用类似的临时命名(DEV-#### 现已改为 Storm-####)。UNC4841(与中国相关,2023 年 Barracuda ESG 0day 事件)是典型案例。
如何防御 UNC 集群(未分类)?
针对 UNC 集群(未分类) 的防御通常结合技术控制与运营实践,详见上方完整定义。
UNC 集群(未分类) 还有哪些其他名称?
常见的别称包括: UNC 编号, 未分类集群。
● 相关术语
- defense-ops№ 057
APT 组织
拥有命名并被持续跟踪的威胁组织(通常受国家支持),对特定组织或行业发起有针对性、长期且资源充足的入侵活动。
- defense-ops№ 418
FIN 威胁组织
Mandiant 命名体系下的财务驱动型威胁组织,主要针对支付系统、零售、酒旅及金融机构发起入侵。
- defense-ops№ 1145
威胁行为者
通过网络行动有意造成或试图造成对信息系统、组织或个人伤害的个人或组织。
- defense-ops№ 1148
威胁情报
关于威胁与威胁行为者的、基于证据的知识——包含指标、TTP 和背景——用于指导安全决策与检测。
- attacks№ 017
高级持续性威胁 (APT)
资源充裕、隐蔽性强的威胁组织 —— 通常由国家支持 —— 长期潜伏在目标网络中,用于窃取数据或为未来破坏行动预先布局。
- defense-ops№ 1131
战术、技术与过程(TTPs)
对威胁行为者运作方式的分层描述:战术(为什么)、技术(怎么做)、过程(具体实现)。