Un nuevo actor de espionaje está violando las redes corporativas para robar correos electrónicos de empleados involucrados en grandes transacciones financieras como fusiones y adquisiciones.
Los investigadores de Mandiant, que descubrieron por primera vez el grupo de amenazas persistentes avanzadas (APT) en diciembre de 2019 y ahora lo rastrean como “UNC3524”, dicen que si bien los objetivos corporativos del grupo insinúan una motivación financiera, su tiempo de permanencia más largo que el promedio en el entorno de una víctima. sugiere un mandato de recopilación de inteligencia. En algunos casos, UNC3524 permaneció sin ser detectado en los entornos de las víctimas durante 18 meses, frente a un tiempo de permanencia promedio de 21 días en 2021.
Mandiant atribuye el éxito del grupo en lograr un tiempo de permanencia tan largo a su enfoque único para el uso de una puerta trasera novedosa, rastreada como “QuietExit”, en dispositivos de red que no admiten antivirus o detección de punto final, como arreglos de almacenamiento, balanceadores de carga y Controladores de punto de acceso inalámbrico.
Los servidores de comando y control de la puerta trasera QuietExit son parte de una red de bots creada al comprometer los sistemas de cámara de la sala de conferencias D-Link y LifeSize, según Mandiant, que dijo que los dispositivos comprometidos probablemente fueron violados debido al uso de credenciales predeterminadas, en lugar de un explotar. TechCrunch contactó a D-Link y LifeSize pero no recibió respuesta.
“El alto nivel de seguridad operativa, la baja huella de malware, las habilidades evasivas expertas y una gran red de bots de dispositivos de Internet de las cosas distinguen a este grupo y enfatizan lo ‘avanzado’ en amenazas persistentes avanzadas”, escribieron los investigadores de Mandiant en su publicación de blog el lunes.
Además, si el acceso de UNC3524 se eliminó del entorno de una víctima, el actor de amenazas “no perdió el tiempo y volvió a comprometer el entorno con una variedad de mecanismos, reiniciando inmediatamente su campaña de robo de datos”, dijo Mandiant. En algunos casos, UNC3524 instaló una puerta trasera secundaria como medio de acceso alternativo.
Después de implementar puertas traseras, UNC3524 obtuvo credenciales privilegiadas para el entorno de correo de sus víctimas y comenzó a apuntar a servidores locales de Exchange y buzones de correo en la nube de Microsoft 365. El actor de amenazas centró su atención en equipos ejecutivos y empleados que trabajan en desarrollo corporativo, fusiones y adquisiciones o personal de seguridad de TI, este último probablemente como un medio para determinar si su operación había sido detectada.
Si bien los investigadores de Mandiant notaron técnicas superpuestas entre UNC3524 y varios grupos de ciberespionaje rusos conocidos, como APT28 (o “Fancy Bear”) y APT29 (“Cozy Bear”), los investigadores notaron que no pudieron conectar definitivamente al actor de amenazas con ningún de esos grupos.
La firma de seguridad cibernética de EE. UU., que fue adquirida recientemente por Google por $ 5.4 mil millones, agregó que el uso de dispositivos comprometidos por parte de UNC3524 que a menudo son los más inseguros y no supervisados en un entorno de víctima, los administradores deberían confiar en sus registros para detectar actividad inusual.