Los ciberespías usan cámaras IP para implementar puertas traseras y robar correos electrónicos de Exchange

Un grupo de Amenazas Persistentes Avanzadas (APT) recientemente descubierto y poco común está violando las redes corporativas para robar correos electrónicos de Exchange (en las instalaciones y en línea) de los empleados involucrados en transacciones corporativas como fusiones y adquisiciones.

Los investigadores de Mandiant, que descubrieron al actor de amenazas y ahora lo rastrean como UNC3524dicen que el grupo ha demostrado sus capacidades "avanzadas" ya que mantuvo el acceso a los entornos de sus víctimas durante más de 18 meses (en algunos casos).

"Una vez que UNC3524 obtuvo con éxito las credenciales privilegiadas para el entorno de correo de la víctima, comenzó a realizar solicitudes de API de Exchange Web Services (EWS) al entorno local de Microsoft Exchange o Microsoft 365 Exchange Online", dijo Mandiant.

"En cada uno de los entornos de víctimas de UNC3524, el actor de amenazas apuntaría a un subconjunto de buzones, enfocando su atención en equipos ejecutivos y empleados que trabajan en desarrollo corporativo, fusiones y adquisiciones, o personal de seguridad de TI".

UNC3524 puede persistir mediante la implementación de una puerta trasera recién descubierta denominada QUIETEXIT (desarrollada usando el software Dropbear SSH de código abierto como inspiración) en dispositivos de red sin soporte para monitoreo de seguridad y herramientas de detección de malware.

En algunos ataques, UNC3524 también implementó el shell web reGeorg (una versión vinculada por la NSA al grupo APT28 / Fancy Bear patrocinado por Rusia) en servidores web DMZ para crear un túnel SOCKS como un punto de acceso alternativo a las redes de sus víctimas.

Túnel UNC3524
Túnel UNC3524 (Mandiant)

Al implementar su malware en estos dispositivos (por ejemplo, controladores de punto de acceso inalámbrico, arreglos SAN y balanceadores de carga), UNC3524 extiende en gran medida el intervalo entre el acceso inicial y el momento en que las víctimas detectan su actividad maliciosa y cortan el acceso.

Sin embargo, incluso cuando eso sucede, Mandiant dice que el grupo de amenazas "no perdió el tiempo en volver a comprometer el medio ambiente con una variedad de mecanismos, reiniciando de inmediato su campaña de robo de datos".

Los servidores de comando y control de puerta trasera QUIETEXIT son parte de una botnet creada al comprometer los sistemas de cámaras de videoconferencia IP LifeSize y D-Link expuestos a Internet, probablemente con credenciales predeterminadas.

Después de obtener acceso e implementar sus puertas traseras, UNC3524 obtuvo credenciales privilegiadas para el entorno de correo de sus víctimas y comenzó a apuntar a los buzones de correo locales de Microsoft Exchange o Microsoft 365 Exchange Online a través de solicitudes de API de Exchange Web Services (EWS).

Por lo general, roban todos los correos electrónicos recibidos por "equipos ejecutivos y empleados que trabajan en desarrollo corporativo, fusiones y adquisiciones, o personal de seguridad de TI" durante un rango de fechas específico en lugar de seleccionar correos electrónicos de interés o utilizar el filtrado de palabras clave (esta es una táctica utilizada por Cozy Bear respaldado por Rusia / APT29).

Dado que UNC3524 ha utilizado tácticas y herramientas previamente vinculadas a múltiples grupos de piratería respaldados por Rusia (incluidos APT28 y APT29), Mandiant dijo que la atribución es confusa y no puede vincular esta actividad a un grupo de amenazas específico.

Descubre más contenido

Subir Change privacy settings