Nhóm tin tặc mới theo đuổi nhân viên công ty tập trung vào sáp nhập và mua lại

Một kẻ đe dọa gián điệp bị nghi ngờ mới được phát hiện đã nhắm mục tiêu vào các nhân viên tập trung vào hoạt động mua bán và sáp nhập cũng như các giao dịch công ty lớn để tạo điều kiện thu thập hàng loạt email từ môi trường nạn nhân.

đang theo dõi nhóm hoạt động dưới biệt danh UNC3524 chưa được phân loại, với lý do thiếu bằng chứng liên kết nó với một nhóm hiện có. Tuy nhiên, một số cuộc xâm nhập được cho là phản ánh các kỹ thuật được sử dụng bởi các nhóm hack khác nhau có trụ sở tại Nga như APT28 và APT29.

Công ty tình báo mối đe dọa cho biết trong một Báo cáo thứ hai.

Lộ trình truy cập ban đầu chưa được biết rõ nhưng khi đã có chỗ đứng, các chuỗi tấn công liên quan đến UNC3524 lên đến đỉnh điểm là việc triển khai một cửa sau mới có tên QUIETEXIT để truy cập từ xa liên tục trong 18 tháng mà không bị phát hiện trong một số trường hợp.

Hơn nữa, các miền lệnh và kiểm soát – một mạng của các thiết bị camera IP tiếp xúc với internet, có khả năng có thông tin xác thực mặc định – được thiết kế để kết hợp với lưu lượng truy cập hợp pháp bắt nguồn từ các điểm cuối bị nhiễm, cho thấy tác nhân đe dọa có nỗ lực ở dưới radar.

Xem tiếp:   Phát hiện ra nền tảng AWS Lambda Serverless Nhắm mục tiêu phần mềm độc hại đầu tiên

Các nhà nghiên cứu Mandiant chỉ ra: “UNC3524 cũng rất coi trọng sự bền bỉ. “Mỗi khi môi trường nạn nhân xóa quyền truy cập của họ, nhóm không lãng phí thời gian để tái xâm phạm môi trường bằng nhiều cơ chế khác nhau, ngay lập tức bắt đầu lại chiến dịch đánh cắp dữ liệu của họ.”

Cũng được cài đặt bởi tác nhân đe dọa là một bộ phận cấy ghép thứ cấp, một trình bao web, như một phương tiện truy cập thay thế nếu QUIETEXIT ngừng hoạt động và để lan truyền cửa hậu chính trên một hệ thống khác trong mạng.

Nhiệm vụ thu thập thông tin, trong giai đoạn cuối cùng, đòi hỏi phải có được thông tin đăng nhập đặc quyền vào môi trường thư của nạn nhân, sử dụng nó để nhắm mục tiêu đến hộp thư của các nhóm điều hành làm việc trong sự phát triển của công ty.

Mandiant nói: “UNC3524 nhắm mục tiêu vào các thiết bị mạng không rõ ràng vì chúng thường là những hệ thống không an toàn và không được trong môi trường nạn nhân. “Các tổ chức nên thực hiện các bước để kiểm kê các thiết bị của họ có trên mạng và không hỗ trợ các công cụ giám sát.”

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …