Μια πρόσφατα ανακαλυφθείσα και ασυνήθιστα μυστική ομάδα Advanced Persistent Threat (APT) παραβιάζει εταιρικά δίκτυα για να κλέψει μηνύματα ηλεκτρονικού ταχυδρομείου του Exchange (on-premise και online) από υπαλλήλους που συμμετέχουν σε εταιρικές συναλλαγές, όπως συγχωνεύσεις και εξαγορές .
Οι ερευνητές της Mandiant, που ανακάλυψαν τον παράγοντα απειλής και τώρα τον παρακολουθούν ως UNC3524, λένε ότι η ομάδα έχει επιδείξει τις «προηγμένες» δυνατότητές της καθώς διατήρησε πρόσβαση στα περιβάλλοντα των θυμάτων της για περισσότερους από 18 μήνες (σε ορισμένες περιπτώσεις).
“Μόλις το UNC3524 απέκτησε επιτυχώς προνομιακά διαπιστευτήρια στο περιβάλλον αλληλογραφίας του θύματος, άρχισαν να κάνουν αιτήματα API Υπηρεσιών Ιστού Exchange (EWS) είτε στο περιβάλλον Microsoft Exchange εσωτερικής εγκατάστασης είτε στο περιβάλλον Microsoft 365 Exchange Online”, είπε ο.
“Σε καθένα από τα περιβάλλοντα θύματος UNC3524, ο παράγοντας απειλής θα στόχευε ένα υποσύνολο γραμματοκιβωτίων, εστιάζοντας την προσοχή του σε ομάδες στελεχών και υπαλλήλους που εργάζονται σε εταιρική ανάπτυξη, συγχωνεύσεις και εξαγορές ή προσωπικό ασφαλείας πληροφορικής.”
Το UNC3524 μπορεί να επιμείνει αναπτύσσοντας ένα νέο backdoor με το όνομα QUIETEXIT (που αναπτύχθηκε χρησιμοποιώντας το λογισμικό ανοιχτού κώδικα Dropbear SSH ως έμπνευση) σε συσκευές δικτύου χωρίς υποστήριξη για εργαλεία παρακολούθησης ασφαλείας και εντοπισμού κακόβουλου λογισμικού.
Σε ορισμένες επιθέσεις, το UNC3524 έχει επίσης αναπτύξει το κέλυφος web reGeorg (μια έκδοση που συνδέεται από την NSA με την ομάδα APT28/Fancy Bear που χρηματοδοτείται από τη Ρωσία) σε διακομιστές ιστού DMZ για να δημιουργήσει μια σήραγγα SOCKS ως εναλλακτικό σημείο πρόσβασης στα δίκτυα των θυμάτων της.