Yeni keşfedilen şüpheli bir casusluk tehdidi aktörü, kurban ortamlarından toplu e-posta toplanmasını kolaylaştırmak için birleşme ve satın almaların yanı sıra büyük kurumsal işlemlere odaklanan çalışanları hedef alıyor.
Mandiant, faaliyet kümesini kategorize edilmemiş UNC3524 adı altında izliyor ve onu mevcut bir grupla ilişkilendiren kanıt eksikliğini öne sürüyor. Bununla birlikte, bazı izinsiz girişlerin, APT28 ve APT29 gibi Rusya merkezli farklı hack ekipleri tarafından kullanılan teknikleri yansıttığı söyleniyor.
Tehdit istihbarat firması “Yüksek düzeyde operasyonel güvenlik, düşük kötü amaçlı yazılım ayak izi, ustaca kaçınma becerileri ve geniş bir Nesnelerin İnterneti (IoT) cihaz botnet ağı bu grubu farklı kılıyor ve Advanced Persistent Threat’teki ‘gelişmiş’i vurguluyor”, tehdit istihbarat şirketi dedim Pazartesi raporunda.
İlk erişim yolu bilinmiyor, ancak bir dayanak elde ettikten sonra, UNC3524’ü içeren saldırı zincirleri, bazı durumlarda tespit edilmeden 18 aya kadar kalıcı uzaktan erişim için QUIETEXIT adlı yeni bir arka kapının konuşlandırılmasıyla sonuçlanır.
Dahası, komuta ve kontrol alanları (muhtemelen varsayılan kimlik bilgilerine sahip, internete maruz kalan IP kamera cihazlarının bir botnet ağı) virüs bulaşmış uç noktalardan kaynaklanan meşru trafikle uyum sağlamak üzere tasarlanmıştır ve tehdit aktörünün bunu yapma girişimlerini önerir. radarın altında kal.
Mandiant araştırmacıları, “UNC3524 ayrıca ısrarı ciddiye alıyor” dedi. “Bir kurban ortamı erişimini her kaldırdığında, grup ortamı çeşitli mekanizmalarla yeniden tehlikeye atarak zaman kaybetmedi ve veri hırsızlığı kampanyasını hemen yeniden başlattı.”
Tehdit aktörü tarafından ayrıca, QUIETEXIT’in çalışmayı durdurması ve birincil arka kapıyı ağdaki başka bir sistem üzerinde yayması için alternatif bir erişim aracı olarak ikincil bir implant, bir web kabuğu kurulur.
Bilgi toplama görevi, son aşamasında, kurbanın posta ortamı için ayrıcalıklı kimlik bilgileri elde etmeyi ve kurumsal geliştirmede çalışan yönetici ekiplerin posta kutularını hedeflemek için kullanmayı gerektirir.
Mandiant, “UNC3524, opak ağ cihazlarını hedefliyor, çünkü bunlar genellikle bir kurban ortamındaki en güvenli olmayan ve izlenmeyen sistemlerdir.” “Kuruluşlar, ağda bulunan ve izleme araçlarını desteklemeyen cihazlarının envanterini çıkarmak için adımlar atmalıdır.”
