攻击者部署后门,窃取Exchange电子邮件

安全
在每一个 UNC3524 受害者环境中,攻击者都会针对一个子集的邮箱,集中其注意力在执行团队和从事企业发展、兼并和收购的员工或 IT 安全人员身上。

近日,Mandiant 安全研究人员发现一个新的、异常隐蔽的高级持续性威胁(APT)组织正在入侵企业网络,并试图窃取参与企业交易(如并购)员工的 Exchange(内部和在线)电子邮件。

网络安全研究人员将该 APT 组织追踪为 UNC3524,并强调在某些情况下,该组织可以对受害者环境进行超过 18 个月的访问,展示了其 "先进 "的隐匿能力。

在每一个 UNC3524 受害者环境中,攻击者都会针对一个子集的邮箱,集中其注意力在执行团队和从事企业发展、兼并和收购的员工或 IT 安全人员身上。

获取权限后,立刻窃取数据

Mandiant 表示,一旦 UNC3524 成功获得受害者邮件环境特权凭证后,就立刻开始向企业内部的 Microsoft Exchange 或 Microsoft 365 Exchange Online 环境提出 Exchange 网络服务(EWS)API 请求。

另外,UNC3524 在不支持安全监控和恶意软件检测工具的网络设备上,部署一个被称为 QUIETEXIT 的后门(以开源的 Dropbear SSH 软件为灵感开发),以保持长期攻击。

在一些攻击中,UNC3524 也会在 DMZ 网络服务器上部署 reGeorg 网络外壳(注:该版本与俄罗斯赞助的 APT28/Fancy Bear 组织有关联),以创建一个SOCKS 隧道作为进入受害者网络的替代接入点。

UNC3524 隧道

UNC3524 通过这些设备(如无线接入点控制器、SAN 阵列和负载平衡器)上部署的恶意软件,大大延长了初始访问与受害者检测到其恶意活动,并切断访问之间的时间间隔。

值得一提的是,Mandiant 表示,即使延长了时间,UNC3524 组织也没有浪费时间,一直使用各种机制重新破坏环境,立即重新启动其数据盗窃活动。

QUIETEXIT 后门命令和控制服务器是僵尸网络的一部分,该僵尸网络通过默认凭证,破坏暴露在互联网上的 LifeSize和D-Link IP视频会议摄像机系统。

在获得访问权并部署其后门后,UNC3524 获得了受害者邮件环境的特权凭证,并开始通过 Exchange 网络服务(EWS)API请求,瞄准企业内部的Microsoft Exchange或Microsoft 365 Exchange Online邮箱。

值得注意的是,UNC3524 组织通常窃取执行团队和从事企业发展、并购或 IT员工的所有电子邮件,而不是挑选感兴趣的电子邮件。

参考文章:https://www.bleepingcomputer.com/news/security/cyberspies-use-ip-cameras-to-deploy-backdoors-steal-exchange-emails/

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2022-05-05 12:40:22

网络钓鱼邮件安全网络攻击

2023-05-15 15:59:07

2022-08-19 15:40:08

密码证书安全

2020-09-02 09:11:53

黑客电子邮件网络攻击

2010-09-17 14:11:18

2021-06-16 10:56:32

电子邮件电子邮件攻击BEC

2021-01-31 18:46:54

电子邮件邮件攻击网络钓鱼

2021-10-20 11:33:29

Telegram BoPayPal间谍软件

2021-06-28 21:21:54

电子邮件邮件安全恶意软件

2023-04-21 19:01:55

2021-09-22 14:39:44

PRISM后门攻击

2022-05-15 15:15:57

恶意软件WhatsApp网络攻击

2022-06-01 11:52:57

GitHub漏洞

2023-06-01 19:03:45

2023-08-18 11:03:34

2009-11-20 11:13:31

2021-11-29 15:34:14

钓鱼邮件恶意软件攻击

2009-08-03 10:51:53

2022-03-16 18:49:18

黑客网络攻击

2016-10-17 09:20:20

点赞
收藏

51CTO技术栈公众号