0
0
Um grupo APT eminentemente sofisticado e furtivo está indo atrás de contas de e-mail corporativas específicas e, ocasionalmente, conseguiu permanecer sem ser detectado em ambientes de vítimas por pelo menos 18 meses.
Catalogado como UNC3524 por Mandiant, o ator de ameaças também é extremamente adepto a reapridar o acesso a um ambiente de vítima quando iniciado, “recomprando o ambiente com uma variedade de mecanismos, reiniciando imediatamente sua campanha de roubo de dados”.
O APT e sua rota para e-mail corporativo
O UNC3524 está principalmente atrás de e-mails e seus conteúdos, particularmente os de funcionários que se concentram no desenvolvimento corporativo, fusões e aquisições, grandes transações corporativas e equipe de segurança de TI (este último, provavelmente, para determinar se sua operação havia sido detectada).
Como o grupo obtém acesso inicial é desconhecido, mas ele usa o backdoor QUIETEXIT em dispositivos como arrays SAN e NAS, balanceadores de carga e controladores de ponto de acesso sem fio – dispositivos desequipados com ferramentas antivírus ou EDR – ou, alternativamente, uma versão fortemente ofuscada do web shell REGEORG, que ele coloca em um servidor web DMZ acessível à internet.
“O QUIETEXIT suporta toda a funcionalidade do SSH, e nossa observação é consistente com o UNC3524 usando-o para estabelecer um túnel SOCKS nos ambientes das vítimas. Ao levantar um túnel SOCKS, o ator de ameaça efetivamente conecta sua máquina a uma tomada de ethernet dentro da rede da vítima. Ao fazer um túnel sobre o SOCKS, o ator de ameaças pode executar ferramentas para roubar dados de seu próprio computador, não deixando vestígios da ferramenta em si mesmo nos computadores das vítimas”, compartilharam os pesquisadores da Mandiant.
O grupo usa uma versão personalizada do WMIEXEC do Impacket para o movimento lateral e o comando reg save embutido para salvar colmeias de registro e extrair segredos LSA off-line.
Depois de descobrir credenciais privilegiadas para o ambiente de e-mail da vítima, eles começam a fazer solicitações de API do Exchange Web Services (EWS) para o ambiente Microsoft Exchange ou Microsoft 365 Exchange Online, para extrair itens de e-mail de caixas de correio específicas.
Um ator de ameaça sofisticado
“Ao longo de suas operações, o ator de ameaças demonstrou uma segurança operacional sofisticada que vemos apenas um pequeno número de atores de ameaças demonstrarem”, observaram os pesquisadores.
“O ator de ameaças escapou da detecção operando a partir de dispositivos nos pontos cegos do ambiente da vítima, incluindo servidores executando versões incomuns do Linux e aparelhos de rede executando OSes opacos. Esses dispositivos e aparelhos estavam executando versões de sistemas operacionais que não eram suportadas por ferramentas de segurança baseadas em agentes, e muitas vezes tinham um nível esperado de tráfego de rede que permitia que os invasores se misturassem.”
O túnel QUIETEXIT também permitiu que eles vivessem fora da terra, reduzindo assim a oportunidade de detecção. Seus sistemas C2 foram rastreados principalmente para sistemas legados de câmeras de sala de conferência, que provavelmente foram comprometidos através de crendenciais padrão. Domínios C2 específicos foram usados para fazer com que o tráfego C2 se misturasse e parecesse legítimo.
Embora a motivação do UNC3524 pareça financeira, sua capacidade de permanecer sem ser detectada por tanto tempo sugere que seu objetivo final é a prolongada espionagem cibernética.
Os pesquisadores não disseram que tipo de organizações e em que setores foram comprometidos pelo grupo, mas forneceram aos defensores ponteiros de caça e remediação de ameaças, indicadores de compromisso e assinaturas de YARA para capturar amplamente arquivos suspeitos.
FONTE: HELPNET SECURITY