近日，Mandiant 安全研究人員發(fā)現(xiàn)一個新的、異常隱蔽的高級持續(xù)性威脅(APT)組織正在入侵企業(yè)網(wǎng)絡，并試圖竊取參與企業(yè)交易(如并購)員工的 Exchange(內(nèi)部和在線)電子郵件。

網(wǎng)絡安全研究人員將該 APT 組織追蹤為 UNC3524，并強調(diào)在某些情況下，該組織可以對受害者環(huán)境進行超過 18 個月的訪問，展示了其 "先進 "的隱匿能力。

在每一個 UNC3524 受害者環(huán)境中，攻擊者都會針對一個子集的郵箱，集中其注意力在執(zhí)行團隊和從事企業(yè)發(fā)展、兼并和收購的員工或 IT 安全人員身上。

獲取權(quán)限后，立刻竊取數(shù)據(jù)

Mandiant 表示，一旦 UNC3524 成功獲得受害者郵件環(huán)境特權(quán)憑證后，就立刻開始向企業(yè)內(nèi)部的 Microsoft Exchange 或 Microsoft 365 Exchange Online 環(huán)境提出 Exchange 網(wǎng)絡服務(EWS)API 請求。

另外，UNC3524 在不支持安全監(jiān)控和惡意軟件檢測工具的網(wǎng)絡設備上，部署一個被稱為 QUIETEXIT 的后門(以開源的 Dropbear SSH 軟件為靈感開發(fā))，以保持長期攻擊。

在一些攻擊中，UNC3524 也會在 DMZ 網(wǎng)絡服務器上部署 reGeorg 網(wǎng)絡外殼(注：該版本與俄羅斯贊助的 APT28/Fancy Bear 組織有關(guān)聯(lián))，以創(chuàng)建一個SOCKS 隧道作為進入受害者網(wǎng)絡的替代接入點。

UNC3524 隧道

UNC3524 通過這些設備(如無線接入點控制器、SAN 陣列和負載平衡器)上部署的惡意軟件，大大延長了初始訪問與受害者檢測到其惡意活動，并切斷訪問之間的時間間隔。

值得一提的是，Mandiant 表示，即使延長了時間，UNC3524 組織也沒有浪費時間，一直使用各種機制重新破壞環(huán)境，立即重新啟動其數(shù)據(jù)盜竊活動。

QUIETEXIT 后門命令和控制服務器是僵尸網(wǎng)絡的一部分，該僵尸網(wǎng)絡通過默認憑證，破壞暴露在互聯(lián)網(wǎng)上的 LifeSize和D-Link IP視頻會議攝像機系統(tǒng)。

在獲得訪問權(quán)并部署其后門后，UNC3524 獲得了受害者郵件環(huán)境的特權(quán)憑證，并開始通過 Exchange 網(wǎng)絡服務(EWS)API請求，瞄準企業(yè)內(nèi)部的Microsoft Exchange或Microsoft 365 Exchange Online郵箱。

值得注意的是，UNC3524 組織通常竊取執(zhí)行團隊和從事企業(yè)發(fā)展、并購或 IT員工的所有電子郵件，而不是挑選感興趣的電子郵件。

參考文章：https://www.bleepingcomputer.com/news/security/cyberspies-use-ip-cameras-to-deploy-backdoors-steal-exchange-emails/