一个新的间谍活动分子正在破坏公司网络,窃取参与大型金融交易(如兼并和收购)的员工的电子邮件。
Mandiant 研究人员于 2019 年 12 月首次发现高级持续性威胁 (APT) 组,现在将其跟踪为“UNC3524”,该研究人员表示,虽然该组的企业目标暗示了财务动机,但其在受害者环境中的停留时间超过平均水平建议执行情报收集任务。在某些情况下,UNC3524 在受害者的环境中长达 18 个月未被发现,而 2021 年的平均停留时间为 21 天。
Mandiant 将该组织成功实现如此长的停留时间归功于其在不支持防病毒或端点检测的网络设备(例如存储阵列、负载平衡器和无线接入点控制器。
据 Mandiant 称,QuietExit 后门的命令和控制服务器是通过破坏 D-Link 和 LifeSize 会议室摄像系统构建的僵尸网络的一部分,该公司表示,受感染的设备可能由于使用默认凭据而不是开发。 TechCrunch 联系了 D-Link 和 LifeSize,但没有收到回复。
Mandiant 研究人员周一在他们的博客文章中写道:“高水平的操作安全性、低恶意软件足迹、娴熟的规避技能和大型物联网设备僵尸网络使该组织与众不同,并强调高级持续威胁的‘先进性’。”
此外,如果从受害者的环境中删除 UNC3524 的访问权限,威胁行为者“会立即通过各种机制重新破坏环境,立即重新启动他们的数据盗窃活动,”Mandiant 说。在某些情况下,UNC3524 安装了辅助后门作为备用访问方式。
部署后门后,UNC3524 获得了受害者邮件环境的特权凭据,并开始针对 Exchange 本地服务器和 Microsoft 365 云邮箱。威胁行为者将注意力集中在企业发展、并购或 IT 安全人员的执行团队和员工身上,后者可能是确定其操作是否已被检测到的一种手段。
虽然 Mandiant 研究人员注意到 UNC3524 与已知的多个俄罗斯网络间谍组织之间的重叠技术,例如APT28 (或“Fancy Bear”)和 APT29(“Cozy Bear”),但研究人员指出,他们无法明确将威胁参与者与任何这些群体中。
这家最近被谷歌以 54 亿美元收购的美国网络安全公司补充说,UNC3524 使用受感染的设备,这些设备在受害者环境中通常是最不安全和不受监控的,因此管理员应该依靠他们的日志来发现异常活动。
原文: https://techcrunch.com/2022/05/03/mandiant-espionage-group-mergers-acquisitions/