یک گروه جاسوسی جدید مخفی، ادغام و تملک شرکت ها را هدف قرار داده است

یک بازیگر جدید جاسوسی در حال نفوذ به شبکه‌های شرکتی برای سرقت ایمیل‌های کارکنان درگیر در تراکنش‌های مالی بزرگ مانند ادغام و ادغام است.

محققان Mandiant که برای اولین بار گروه تهدید دائمی پیشرفته (APT) را در دسامبر 2019 کشف کردند و اکنون آن را با نام “UNC3524” دنبال می کنند، می گویند که در حالی که اهداف شرکتی این گروه به انگیزه مالی اشاره دارد، زمان از کار افتادن آن بیشتر از حد متوسط ​​است. دستوری برای جمع آوری اطلاعات ارائه می دهد. در برخی موارد، UNC3524 به مدت 18 ماه در بین قربانیان شناسایی نشد، در مقایسه با میانگین اقامت 21 روزه در سال 2021.

Mandiant موفقیت گروه در دستیابی به چنین اقامت طولانی را به رویکرد منحصر به فرد خود در استفاده از یک درب پشتی جدید – که به عنوان “QuietExit” ردیابی می شود – به دستگاه های شبکه ای که از آنتی ویروس یا تشخیص نقطه پایانی پشتیبانی نمی کنند، مانند آرایه های ذخیره سازی، بارگذاری و کنترل کننده های دسترسی بی سیم نسبت می دهد. نکته ها.

به گفته Mandiant، سرورهای فرمان و کنترل QuietExit بخشی از یک بات نت هستند که با به خطر انداختن سیستم‌های دوربین اتاق کنفرانس D-Link و LifeSize ایجاد شده‌اند، که گفته است دستگاه‌های در معرض خطر ممکن است به دلیل استفاده از اعتبارنامه‌های پیش‌فرض در معرض خطر قرار گرفته باشند و سوءاستفاده نشده باشند. TechCrunch با D-Link و LifeSize تماس گرفت، اما پاسخی نداد.

محققان Mandiant روز دوشنبه در یک پست وبلاگی نوشتند: «سطح بالای امنیت عملیاتی، اثر انگشت کم بدافزار، مهارت‌های فرار و بات‌نت بزرگ دستگاه‌های اینترنت اشیا، این گروه را متمایز می‌کند و «پیشرفته» را در تهدید دائمی پیشرفته برجسته می‌کند.

Mandiant گفت: علاوه بر این، اگر دسترسی UNC3524 از محیط قربانی حذف شود، تهدید “هیچ وقت را برای به خطر انداختن محیط با مکانیسم‌های مختلف از طریق راه‌اندازی مجدد کمپین سرقت اطلاعات آن تلف نمی‌کند.” در برخی موارد، UNC3524 یک درب عقب ثانویه را به عنوان یک وسیله دسترسی جایگزین نصب می کند.

پس از اجرای درهای پشتی، UNC3524 اعتبارنامه های ممتاز را در محیط های پستی قربانیان خود دریافت کرد و شروع به هدف قرار دادن سرورهای محلی Exchange و صندوق پستی ابری مایکروسافت 365 کرد. تهدید بر مدیران و کارمندان شرکت ها، توسعه، ادغام و ادغام یا پرسنل امنیت فناوری اطلاعات متمرکز بود. وسیله ای برای تعیین اینکه آیا کار آنها کشف شده است یا خیر.

در حالی که محققان Mandiant به تکنیک‌های همپوشانی بین UNC3524 و تعدادی از گروه‌های جاسوسی سایبری معروف روسی، مانند APT28 (یا “خرس شیک”) و APT29 (“خرس دلپذیر”) اشاره می‌کنند، محققان خاطرنشان می‌کنند که نمی‌توانند به طور قطعی تهدید را به کسی مرتبط کنند. هر یک از این گروه ها

شرکت امنیت سایبری ایالات متحده که اخیراً توسط گوگل به مبلغ 5.4 میلیارد دلار خریداری شد، اضافه کرد که استفاده UNC3524 از دستگاه‌های آسیب‌دیده، که اغلب ناامن‌ترین و نادیده‌گرفته‌ترین‌ها در محیط قربانی هستند، مدیران باید در عوض به پرونده‌های ثبت خود اعتماد کنند تا متوجه فعالیت غیرعادی شوند. .