最近,Mandiant安全研究人员发现一个新的、异常隐蔽的高级持续威胁(APT)组织正在入侵公司网络,并试图窃取参与公司交易(例如并购)的员工Exchange(内部和在线)电子邮件。网络安全研究人员将APT组织追踪为UNC3524,并强调在某些情况下,该组织能够访问受害环境超过18个月,展示了其“先进”的隐身能力。在每个UNC3524受害环境中,攻击者都以邮箱子集为目标,将注意力集中在执行团队和从事企业发展、并购的员工或IT安全人员身上。获得权限后立即窃取数据Mandiant表示,一旦UNC3524成功获得受害者邮件环境的特权凭据,它就会立即开始向内部MicrosoftExchange或Microsoft365ExchangeOnline环境发出ExchangeWeb服务(EWS)API请求。此外,UNC3524在不支持安全监控和恶意软件检测工具的网络设备上部署名为QUIETEXIT(灵感来自开源的DropbearSSH软件)的后门,以维持长期攻击。在某些攻击中,UNC3524还在DMZ网络服务器上部署reGeorg网络外壳(注意:此版本与俄罗斯赞助的APT28/FancyBear组织相关联)以创建SOCKS隧道作为进入受害者网络的替代接入点。UNC3524通过部署在这些设备(如无线接入点控制器、SAN阵列和负载平衡器)上的恶意软件对UNC3524进行隧道传输,大大延长了从初始访问到受害者检测到其恶意活动并切断访问之间的时间。值得注意的是,Mandiant表示,即使时间延长,UNC3524组织也没有浪费时间,一直在使用各种机制重新破坏环境,以立即重新启动数据盗窃。QUIETEXIT后门命令和控制服务器是僵尸网络的一部分,该僵尸网络通过默认凭证危及LifeSize和D-LinkIP视频会议摄像头系统暴露在互联网上。在获得访问权限并部署其后门后,UNC3524获得了受害者电子邮件环境的特权凭据,并开始通过ExchangeWeb服务(EWS)API请求将MicrosoftExchange或Microsoft365ExchangeOnline邮箱作为本地邮箱。值得注意的是,UNC3524组织通常会窃取执行团队和从事企业发展、并购或IT工作的员工的所有电子邮件,而不是挑选感兴趣的电子邮件。参考文章:https://www.bleepingcomputer.com/news/security/cyberspies-use-ip-cameras-to-deploy-backdoors-steal-exchange-emails/
