Een nieuw ontdekte verdachte van spionagedreiging heeft zich gericht op werknemers die zich richten op fusies en overnames en op grote zakelijke transacties om het verzamelen van massale e-mail uit slachtofferomgevingen te vergemakkelijken.
Mandiant volgt het activiteitencluster onder de niet-gecategoriseerde naam UNC3524, daarbij verwijzend naar een gebrek aan bewijs dat het aan een bestaande groep koppelt. Er wordt echter gezegd dat sommige inbraken een spiegel zijn van technieken die worden gebruikt door verschillende in Rusland gevestigde hackploegen zoals APT28 en APT29.
“Het hoge niveau van operationele beveiliging, lage malwarevoetafdruk, bedreven ontwijkingsvaardigheden en een groot Internet of Things (IoT)-apparaatbotnet onderscheiden deze groep en benadrukken het ‘geavanceerde’ in Advanced Persistent Threat”, zegt het threat intelligence-bedrijf zei in een maandagverslag.
De initiële toegangsroute is onbekend, maar wanneer ze voet aan de grond krijgen, culmineren aanvalsketens met UNC3524 in de inzet van een nieuwe achterdeur genaamd QUIETEXIT voor permanente toegang op afstand gedurende 18 maanden zonder in sommige gevallen te worden gedetecteerd.
Bovendien zijn de command-and-control-domeinen – een botnet van internet-blootgestelde IP-camera-apparaten, waarschijnlijk met standaardreferenties – ontworpen om op te gaan in legitiem verkeer dat afkomstig is van de geïnfecteerde eindpunten, wat wijst op pogingen van de kant van de dreigingsactor om onder de radar blijven.
“UNC3524 neemt ook doorzettingsvermogen serieus”, merkten Mandiant-onderzoekers op. “Elke keer dat een slachtofferomgeving hun toegang verwijderde, verspilde de groep geen tijd door de omgeving opnieuw in gevaar te brengen met een verscheidenheid aan mechanismen, waardoor hun gegevensdiefstalcampagne onmiddellijk opnieuw werd opgestart.”
Ook geïnstalleerd door de dreigingsactor is een secundair implantaat, een webshell, als een middel voor alternatieve toegang als QUIETEXIT zou stoppen met functioneren en voor het verspreiden van de primaire achterdeur op een ander systeem in het netwerk.
De missie voor het verzamelen van informatie, in de laatste fase, omvat het verkrijgen van bevoorrechte referenties voor de e-mailomgeving van het slachtoffer, en deze gebruiken om de mailboxen te targeten van uitvoerende teams die werken aan bedrijfsontwikkeling.
“UNC3524 richt zich op ondoorzichtige netwerkapparatuur omdat dit vaak de meest onveilige en niet-gecontroleerde systemen zijn in een slachtofferomgeving”, zei Mandiant. “Organisaties moeten stappen ondernemen om hun apparaten op het netwerk te inventariseren en geen monitoringtools ondersteunen.”
