攻击者部署后门，窃取 Exchange 电子邮件

http://hackernews.cc/wp-content/uploads/2022/05/%E5%BE%AE%E4%BF%A1%E5%9B%BE%E7%89%87_20220505165103-600x331.png

网络安全研究人员将该 APT 组织追踪为 UNC3524，并强调在某些情况下，该组织可以对受害者环境进行超过 18 个月的访问，展示了其 “先进 “的隐匿能力。

在每一个 UNC3524 受害者环境中，攻击者都会针对一个子集的邮箱，集中其注意力在执行团队和从事企业发展、兼并和收购的员工或 IT 安全人员身上。

获取权限后，立刻窃取数据

Mandiant 表示，一旦 UNC3524 成功获得受害者邮件环境特权凭证后，就立刻开始向企业内部的 Microsoft Exchange 或 Microsoft 365 Exchange Online 环境提出 Exchange 网络服务（EWS）API 请求。

另外，UNC3524 在不支持安全监控和恶意软件检测工具的网络设备上，部署一个被称为 QUIETEXIT 的后门（以开源的 Dropbear SSH 软件为灵感开发），以保持长期攻击。

在一些攻击中，UNC3524 也会在 DMZ 网络服务器上部署 reGeorg 网络外壳（注：该版本与俄罗斯赞助的 APT28/Fancy Bear 组织有关联），以创建一个SOCKS 隧道作为进入受害者网络的替代接入点。

http://hackernews.cc/wp-content/uploads/2022/05/%E5%BE%AE%E4%BF%A1%E5%9B%BE%E7%89%87_20220505165200-600x331.png

UNC3524 隧道

UNC3524 通过这些设备（如无线接入点控制器、SAN 阵列和负载平衡器）上部署的恶意软件，大大延长了初始访问与受害者检测到其恶意活动，并切断访问之间的时间间隔。

值得一提的是，Mandiant 表示，即使延长了时间，UNC3524 组织也没有浪费时间，一直使用各种机制重新破坏环境，立即重新启动其数据盗窃活动。

QUIETEXIT 后门命令和控制服务器是僵尸网络的一部分，该僵尸网络通过默认凭证，破坏暴露在互联网上的 LifeSize和D-Link IP视频会议摄像机系统。

在获得访问权并部署其后门后，UNC3524 获得了受害者邮件环境的特权凭证，并开始通过 Exchange 网络服务（EWS）API请求，瞄准企业内部的Microsoft Exchange或Microsoft 365 Exchange Online邮箱。

值得注意的是，UNC3524 组织通常窃取执行团队和从事企业发展、并购或 IT员工的所有电子邮件，而不是挑选感兴趣的电子邮件。

转自 FreeBuf ，原文链接：https://www.freebuf.com/news/332061.html

封面来源于网络，如有侵权请联系删除