*** 安全研究人员将该 APT 组织追踪为 UNC3524,并强调在某些情况下,该组织可以对受害者环境进行超过 18 个月的访问,展示了其 “先进 “的隐匿能力。
在每一个 UNC3524 受害者环境中,攻击者都会针对一个子集的邮箱,集中其注意力在执行团队和从事企业发展、兼并和收购的员工或 IT 安全人员身上。
Mandiant 表示,一旦 UNC3524 成功获得受害者邮件环境特权凭证后,就立刻开始向企业内部的 Microsoft Exchange 或 Microsoft 365 Exchange Online 环境提出 Exchange *** 服务(EWS)API 请求。
另外,UNC3524 在不支持安全监控和恶意软件检测工具的 *** 设备上,部署一个被称为 QUIETEXIT 的后门(以开源的 Dropbear SSH 软件为灵感开发),以保持长期攻击。
在一些攻击中,UNC3524 也会在 DMZ *** 服务器上部署 reGeorg *** 外壳(注:该版本与俄罗斯赞助的 APT28/Fancy Bear 组织有关联),以创建一个SOCKS 隧道作为进入受害者 *** 的替代接入点。
UNC3524 隧道
UNC3524 通过这些设备(如无线接入点控制器、SAN 阵列和负载平衡器)上部署的恶意软件,大大延长了初始访问与受害者检测到其恶意活动,并切断访问之间的时间间隔。
值得一提的是,Mandiant 表示,即使延长了时间,UNC3524 组织也没有浪费时间,一直使用各种机制重新破坏环境,立即重新启动其数据盗窃活动。
QUIETEXIT 后门命令和控制服务器是僵尸 *** 的一部分,该僵尸 *** 通过默认凭证,破坏暴露在互联网上的 LifeSize和D-Link IP视频会议摄像机系统。
在获得访问权并部署其后门后,UNC3524 获得了受害者邮件环境的特权凭证,并开始通过 Exchange *** 服务(EWS)API请求,瞄准企业内部的Microsoft Exchange或Microsoft 365 Exchange Online邮箱。
值得注意的是,UNC3524 组织通常窃取执行团队和从事企业发展、并购或 IT员工的所有电子邮件,而不是挑选感兴趣的电子邮件。
转自 FreeBuf ,原文链接:https://www.freebuf.com/news/332061.html
封面来源于 *** ,如有侵权请联系删除
Hackernews 编译,转载请注明出处: 研究人员披露了 TerraMaster NAS设备的关键安全漏洞的细节,这些设备可以链接到未经身份验证的远程代码执行,且具有最高权限。 埃塞俄比亚网络安全研究公司 Octagon Networks 的 Paulos yibello 在分...
丰田汽车旗下零部件制造商日本电装于13日宣布,其德国当地法人受到了网络攻击。该公司确认其网络感染了勒索软件。被认定发动了此次攻击的黑客集团已经发布了勒索声明。公司称虽然目前并没有立刻对公司经营造成影响,但是“关于受害的详细情况正在调查中”。公司已向德国当地政府提交了受害报告。 据信息安全公司三井物...
英国国家网络安全中心(NCSC)近日向 4000 多家网店的店主发出警告,他们的网站受到了 Magecart 的攻击影响,会窃取客户的支付信息。Magecart 攻击也称网络盗取、数字盗取或电子盗取,攻击者将被称为信用卡盗取器的脚本注入被攻击的网店,以收获和窃取顾客在结账页面提交的支付和/或个人信息...
电动汽车(EV)革命来了。在过去的十年里,插电式混合动力电动车已经从16000辆增长到超过200万辆,汽车高管们预计到2030年,超过50%的美国汽车将是全电动的。不难看出,专家们为何做出如此乐观的预测。除了不断增长的电动汽车车队,今年早些时候签署的美国国会两党基础设施协议将包括75亿美元,以帮助规...
有争议的面部识别公司Clearview AI通过从互联网上搜罗自拍照片,积累了一个约100亿张图片的数据库,以便向执法部门出售身份匹配服务,今天,该公司再次被勒令删除人们的数据。法国的隐私监督机构CNIL今天说,这是因为Clearview违反了欧洲的《通用数据保护条例》(GDPR)。 在一份关于违...
网络安全研究人员详细介绍了一项新的黑客行动,该行动可能以东南亚的实体为目标,工具是一种以前未被识别的Linux恶意软件,该恶意软件被用于进行远程访问,此外还可以收集凭证和充当代理服务器。 该恶意软件家族被斯洛伐克网络安全公司ESET称为“FontOnLake”,据说具有“设计良好的模块”,可以不断升...