近日，Mandiant 安全研究人員發(fā)現(xiàn)一個(gè)新的、異常隱蔽的高級持續(xù)性威脅(APT)組織正在入侵企業(yè)網(wǎng)絡(luò)，并試圖竊取參與企業(yè)交易(如并購)員工的 Exchange(內(nèi)部和在線)電子郵件。

網(wǎng)絡(luò)安全研究人員將該 APT 組織追蹤為 UNC3524，并強(qiáng)調(diào)在某些情況下，該組織可以對受害者環(huán)境進(jìn)行超過 18 個(gè)月的訪問，展示了其 "先進(jìn) "的隱匿能力。

在每一個(gè) UNC3524 受害者環(huán)境中，攻擊者都會(huì)針對一個(gè)子集的郵箱，集中其注意力在執(zhí)行團(tuán)隊(duì)和從事企業(yè)發(fā)展、兼并和收購的員工或 IT 安全人員身上。

獲取權(quán)限后，立刻竊取數(shù)據(jù)

Mandiant 表示，一旦 UNC3524 成功獲得受害者郵件環(huán)境特權(quán)憑證后，就立刻開始向企業(yè)內(nèi)部的 Microsoft Exchange 或 Microsoft 365 Exchange Online 環(huán)境提出 Exchange 網(wǎng)絡(luò)服務(wù)(EWS)API 請求。

另外，UNC3524 在不支持安全監(jiān)控和惡意軟件檢測工具的網(wǎng)絡(luò)設(shè)備上，部署一個(gè)被稱為 QUIETEXIT 的后門(以開源的 Dropbear SSH 軟件為靈感開發(fā))，以保持長期攻擊。

在一些攻擊中，UNC3524 也會(huì)在 DMZ 網(wǎng)絡(luò)服務(wù)器上部署 reGeorg 網(wǎng)絡(luò)外殼(注：該版本與俄羅斯贊助的 APT28/Fancy Bear 組織有關(guān)聯(lián))，以創(chuàng)建一個(gè)SOCKS 隧道作為進(jìn)入受害者網(wǎng)絡(luò)的替代接入點(diǎn)。

UNC3524 隧道

UNC3524 通過這些設(shè)備(如無線接入點(diǎn)控制器、SAN 陣列和負(fù)載平衡器)上部署的惡意軟件，大大延長了初始訪問與受害者檢測到其惡意活動(dòng)，并切斷訪問之間的時(shí)間間隔。

值得一提的是，Mandiant 表示，即使延長了時(shí)間，UNC3524 組織也沒有浪費(fèi)時(shí)間，一直使用各種機(jī)制重新破壞環(huán)境，立即重新啟動(dòng)其數(shù)據(jù)盜竊活動(dòng)。

QUIETEXIT 后門命令和控制服務(wù)器是僵尸網(wǎng)絡(luò)的一部分，該僵尸網(wǎng)絡(luò)通過默認(rèn)憑證，破壞暴露在互聯(lián)網(wǎng)上的 LifeSize和D-Link IP視頻會(huì)議攝像機(jī)系統(tǒng)。

在獲得訪問權(quán)并部署其后門后，UNC3524 獲得了受害者郵件環(huán)境的特權(quán)憑證，并開始通過 Exchange 網(wǎng)絡(luò)服務(wù)(EWS)API請求，瞄準(zhǔn)企業(yè)內(nèi)部的Microsoft Exchange或Microsoft 365 Exchange Online郵箱。

值得注意的是，UNC3524 組織通常竊取執(zhí)行團(tuán)隊(duì)和從事企業(yè)發(fā)展、并購或 IT員工的所有電子郵件，而不是挑選感興趣的電子郵件。

參考文章：https://www.bleepingcomputer.com/news/security/cyberspies-use-ip-cameras-to-deploy-backdoors-steal-exchange-emails/