Ein neuer Spionageakteur dringt in Unternehmensnetzwerke ein, um E-Mails von Mitarbeitern zu stehlen, die an großen Finanztransaktionen wie Fusionen und Übernahmen beteiligt sind.
Mandiant-Forscher, die die Advanced Persistent Threat (APT)-Gruppe erstmals im Dezember 2019 entdeckte und sie nun als „UNC3524“ verfolgt, sagt, dass die Unternehmensziele der Gruppe zwar auf finanzielle Motivation hindeuten, ihre überdurchschnittlich lange Verweildauer in der Umgebung eines Opfers jedoch darauf hindeutet Mandat zum Sammeln von Informationen. In einigen Fällen blieb UNC3524 in der Umgebung der Opfer bis zu 18 Monate lang unentdeckt, gegenüber einer durchschnittlichen Verweildauer von 21 Tagen im Jahr 2021.
Mandiant führt den Erfolg der Gruppe beim Erreichen einer so langen Verweildauer auf ihren einzigartigen Ansatz zur Verwendung einer neuartigen Hintertür – verfolgt als „QuietExit“ – für Netzwerkgeräte zurück, die Virenschutz oder Endpunkterkennung nicht unterstützen, wie z. B. Speicher-Arrays, Load Balancer und Wireless-Access-Point-Controller.
Die Command-and-Control-Server der QuietExit-Hintertür sind laut Mandiant Teil eines Botnetzes, das aus kompromittierenden Konferenzraumkamerasystemen von D-Link und LifeSize aufgebaut wurde Ausbeuten. Tech kontaktierte D-Link und LifeSize, erhielt jedoch keine Antwort.
„Das hohe Maß an Betriebssicherheit, geringer Malware-Fußabdruck, geschickte Ausweichfähigkeiten und ein großes Geräte-Botnet für das Internet der Dinge heben diese Gruppe von anderen ab und unterstreichen die ‚fortgeschrittene‘ Advanced Persistent Threat“, schrieben Forscher von Mandiant in ihrem Blogbeitrag Montag.
Wenn der Zugriff von UNC3524 aus der Umgebung eines Opfers entfernt wurde, verschwendete der Bedrohungsakteur außerdem „keine Zeit damit, die Umgebung mit einer Vielzahl von Mechanismen erneut zu kompromittieren und sofort seine Datendiebstahlkampagne neu zu starten“, sagte Mandiant. In einigen Fällen installierte UNC3524 eine sekundäre Hintertür als alternativen Zugriff.
Nach der Bereitstellung von Backdoors erhielt UNC3524 privilegierte Anmeldeinformationen für die E-Mail-Umgebung seiner Opfer und begann, lokale Exchange-Server und Microsoft 365-Cloud-Postfächer ins Visier zu nehmen. Der Bedrohungsakteur konzentrierte seine Aufmerksamkeit auf Führungsteams und Mitarbeiter, die in den Bereichen Unternehmensentwicklung, Fusionen und Übernahmen oder IT-Sicherheitspersonal arbeiten, letzteres wahrscheinlich, um festzustellen, ob ihre Operation entdeckt wurde.
Während die Forscher von Mandiant überlappende Techniken zwischen UNC3524 und mehreren bekannten russischen Cyberspionagegruppen wie APT28 (oder „Fancy Bear“) und APT29 („Cozy Bear“) feststellten, stellten die Forscher fest, dass sie den Bedrohungsakteur nicht definitiv mit irgendjemandem in Verbindung bringen konnten dieser Gruppen.
Das US-amerikanische Cybersicherheitsunternehmen, das kürzlich von Google für 5,4 Milliarden US-Dollar übernommen wurde, fügte hinzu, dass die Verwendung von kompromittierten Geräten durch UNC3524, die in einer Opferumgebung oft am unsichersten und unüberwacht sind, Administratoren sich stattdessen auf ihre Protokolle verlassen sollten, um ungewöhnliche Aktivitäten zu erkennen.