Un sospetto attore di spionaggio appena scoperto ha preso di mira i dipendenti concentrandosi su fusioni e acquisizioni, così come le grandi transazioni aziendali per facilitare la raccolta di e-mail di massa dagli ambienti delle vittime.
Mandiant sta monitorando il cluster di attività sotto il moniker non categorizzato UNC3524, citando una mancanza di prove che lo collega a un gruppo esistente. Tuttavia, alcune delle intrusioni si dice che rispecchino le tecniche utilizzate da diversi gruppi di hacker basati in Russia come APT28 e APT29.
“L’alto livello di sicurezza operativa, la bassa impronta del malware, l’abile abilità evasiva e una grande botnet di dispositivi Internet of Things (IoT) distinguono questo gruppo e sottolineano l'”avanzato” in Advanced Persistent Threat”, la società di intelligence delle minacce ha detto in un rapporto di lunedì.
Il percorso di accesso iniziale è sconosciuto, ma dopo aver guadagnato un punto d’appoggio, le catene di attacco che coinvolgono UNC3524 culminano nello spiegamento di una nuova backdoor chiamata QUIETEXIT per un accesso remoto persistente fino a 18 mesi senza essere rilevato in alcuni casi.
Inoltre, i domini di comando e controllo una botnet di dispositivi di telecamere IP esposti a Internet, probabilmente con credenziali predefinite sono progettati per fondersi con il traffico legittimo proveniente dagli endpoint infetti, suggerendo i tentativi da parte dell’attore della minaccia di rimanere sotto il radar.
“UNC3524 prende anche sul serio la persistenza“, hanno sottolineato i ricercatori di Mandiant. “Ogni volta che un ambiente vittima ha rimosso il loro accesso, il gruppo non ha perso tempo a ri-compromettere l’ambiente con una varietà di meccanismi, riavviando immediatamente la loro campagna di furto di dati“.
L’attore della minaccia ha anche installato un impianto secondario, una shell web, come mezzo di accesso alternativo nel caso in cui QUIETEXIT smetta di funzionare e per propagare la backdoor primaria su un altro sistema della rete.
La missione di raccolta delle informazioni, nella sua fase finale, comporta l’ottenimento di credenziali privilegiate per l’ambiente di posta elettronica della vittima, usandole per colpire le caselle di posta dei team esecutivi che lavorano nello sviluppo aziendale.
“UNC3524 prende di mira apparecchi di rete opachi perché sono spesso i sistemi più insicuri e non monitorati in un ambiente vittima“, ha detto Mandiant. “Le organizzazioni dovrebbero prendere provvedimenti per inventariare i loro dispositivi che sono in rete e non supportano strumenti di monitoraggio“.
