Ein neu entdeckter mutmaßlicher Spionage-Bedrohungsakteur hat es auf Angestellte abgesehen, die sich auf Fusionen und Übernahmen sowie auf große Unternehmenstransaktionen konzentrieren, um Massen-E-Mails aus den Umgebungen der Opfer zu sammeln.
Mandiant verfolgt den Aktivitätscluster unter dem nicht kategorisierten Namen UNC3524 und gibt an, dass es keine Beweise gibt, die ihn mit einer bestehenden Gruppe in Verbindung bringen. Einige der Eindringlinge sollen jedoch Techniken wiedergeben, die von verschiedenen russischen Hackergruppen wie APT28 und APT29 verwendet werden.
„Das hohe Maß an operativer Sicherheit, der geringe Malware-Fußabdruck, die geschickten Ausweichmanöver und ein großes Internet of Things (IoT)-Geräte-Botnetz heben diese Gruppe von anderen ab und unterstreichen das ‚fortgeschrittene‘ in Advanced Persistent Threat“, so der Threat Intelligence Service in einem Bericht vom Montag.
Der anfängliche Zugangsweg ist unbekannt, aber sobald sie Fuß gefasst haben, gipfeln die Angriffsketten, an denen UNC3524 beteiligt ist, in der Bereitstellung einer neuartigen Backdoor namens QUIETEXIT, die einen dauerhaften Fernzugriff ermöglicht, der in manchen Fällen 18 Monate lang nicht entdeckt wird.
Darüber hinaus sind die Command-and-Control-Domains – ein Botnet von IP-Kamerageräten, die im Internet exponiert sind, wahrscheinlich mit Standard-Zugangsdaten – so konzipiert, dass sie sich mit dem legitimen Datenverkehr der infizierten Endpunkte vermischen, was darauf hindeutet, dass der Bedrohungsakteur versucht, unter dem Radar zu bleiben.
„UNC3524 nimmt auch die Ausdauer ernst“, so die Forscher von Mandiant. „Jedes Mal, wenn eine Opferumgebung ihren Zugang entfernte, verschwendete die Gruppe keine Zeit damit, die Umgebung mit einer Vielzahl von Mechanismen erneut zu kompromittieren und ihre Datendiebstahlskampagne sofort wieder zu starten.
Außerdem installierte die Gruppe ein zweites Implantat, eine Web-Shell, um einen alternativen Zugang zu erhalten, falls QUIETEXIT nicht mehr funktioniert, und um die primäre Backdoor auf einem anderen System im Netzwerk zu verbreiten.
Die letzte Phase der Informationsbeschaffung besteht darin, sich privilegierte Zugangsdaten für die E-Mail-Umgebung des Opfers zu verschaffen und damit die Postfächer der leitenden Angestellten in der Unternehmensentwicklung ins Visier zu nehmen.
„UNC3524 hat es auf undurchsichtige Netzwerkgeräte abgesehen, da diese oft die unsichersten und am wenigsten überwachten Systeme in der Umgebung des Opfers sind“, so Mandiant. „Unternehmen sollten Maßnahmen ergreifen, um ihre Geräte im Netzwerk zu inventarisieren, die keine Überwachungstools unterstützen.“