Un presunto actor de amenazas de espionaje recientemente descubierto se ha centrado en los empleados centrándose en fusiones y adquisiciones, así como en grandes transacciones corporativas para facilitar la recopilación masiva de correo electrónico de los entornos de las víctimas.
Mandiant está rastreando el grupo de actividad bajo el nombre no categorizado UNC3524, citando la falta de evidencia que lo vincule a un grupo existente. Sin embargo, se dice que algunas de las intrusiones reflejan técnicas utilizadas por diferentes equipos de piratería con sede en Rusia como APT28 y APT29.
«El alto nivel de seguridad operativa, la baja huella de malware, las habilidades evasivas expertas y una gran red de bots de dispositivos de Internet de las cosas (IoT) distinguen a este grupo y enfatizan lo ‘avanzado’ en Advanced Persistent Threat», la firma de inteligencia de amenazas. dicho en un informe del lunes.
Se desconoce la ruta de acceso inicial, pero al afianzarse, las cadenas de ataque que involucran a UNC3524 culminan en el despliegue de una puerta trasera novedosa llamada QUIETEXIT para el acceso remoto persistente durante hasta 18 meses sin ser detectado en algunos casos.
Además, los dominios de comando y control, una botnet de dispositivos de cámara IP expuestos a Internet, probablemente con credenciales predeterminadas, están diseñados para mezclarse con el tráfico legítimo que se origina en los puntos finales infectados, lo que sugiere intentos por parte del actor de amenazas de permanecer bajo el radar.
«UNC3524 también se toma en serio la persistencia», señalaron los investigadores de Mandiant. «Cada vez que el entorno de una víctima eliminaba su acceso, el grupo no perdía tiempo en volver a comprometer el entorno con una variedad de mecanismos, reiniciando inmediatamente su campaña de robo de datos».
El actor de amenazas también instala un implante secundario, un shell web, como un medio de acceso alternativo en caso de que QUIETEXIT deje de funcionar y para propagar la puerta trasera principal en otro sistema de la red.
La misión de recopilación de información, en su etapa final, consiste en obtener credenciales privilegiadas para el entorno de correo de la víctima, usándolo para apuntar a los buzones de correo de los equipos ejecutivos que trabajan en el desarrollo corporativo.
«UNC3524 tiene como objetivo los dispositivos de red opacos porque a menudo son los sistemas más inseguros y no supervisados en un entorno de víctima», dijo Mandiant. «Las organizaciones deben tomar medidas para hacer un inventario de sus dispositivos que están en la red y no son compatibles con las herramientas de monitoreo».
